Le registre des visiteurs est souvent perçu comme une formalité administrative — un cahier à l'accueil où les visiteurs griffonnent leur nom et signent maladroitement. Mais depuis le 25 mai 2018 et l'entrée en vigueur du RGPD, ce simple registre est devenu un sujet juridique sérieux pour toutes les entreprises françaises.
En résumé : chaque fois que vous collectez le nom, le prénom, l'heure d'arrivée ou la société d'un visiteur, vous traitez des données personnelles au sens du RGPD. Vous êtes donc responsable de traitement et avez des obligations légales.
Ce que dit le RGPD sur le registre des visiteurs
Le RGPD (Règlement Général sur la Protection des Données) s'applique à tout traitement de données personnelles de personnes physiques en Europe. Un visiteur qui s'identifie à votre accueil est une personne physique — ses données sont donc protégées.
Concrètement, cela signifie que votre registre des visiteurs doit respecter les principes suivants :
- Finalité déterminée : les données collectées doivent servir un objectif précis (sécurité des locaux, traçabilité des accès, etc.) et pas autre chose.
- Minimisation des données : vous ne pouvez collecter que les informations strictement nécessaires à cette finalité. Inutile de demander l'adresse personnelle d'un visiteur qui vient juste pour une réunion.
- Durée de conservation limitée : les données ne peuvent pas rester indéfiniment. En général, 3 mois suffisent pour un registre de sécurité.
- Information du visiteur : vous devez informer chaque visiteur de la collecte et de son droit à accéder à ses données.
- Sécurité des données : le registre doit être protégé contre les accès non autorisés.
⚠️ Le problème du registre papier : Un cahier posé à l'accueil ne respecte aucun de ces principes. N'importe quel visiteur peut voir les noms de ceux qui l'ont précédé. Il n'y a aucune information sur la durée de conservation. Il n'y a aucun formulaire d'information pour le visiteur.
Les données à ne pas collecter
Beaucoup d'entreprises demandent des informations qui ne sont pas nécessaires à la finalité du registre. Voici un tableau comparatif :
| Donnée | Autorisée ? | Pourquoi |
|---|---|---|
| Nom, prénom | ✅ Oui | Nécessaire à l'identification |
| Société | ✅ Oui | Légitime pour la traçabilité |
| Heure d'arrivée / départ | ✅ Oui | Finalité sécurité des locaux |
| Photo | ⚠️ Sous conditions | Nécessite une base légale et information claire |
| Adresse personnelle | ❌ Non | Disproportionné par rapport à la finalité |
| Numéro de téléphone perso | ❌ Non | Non nécessaire pour un visiteur ponctuel |
| Carte d'identité (scan ou copie) | ❌ Non | Interdit sauf zones sensibles réglementées |
Durée de conservation : combien de temps garder les données ?
La CNIL recommande de ne pas conserver les données du registre des visiteurs plus de 3 mois pour une finalité de sécurité des locaux. Au-delà, les données doivent être supprimées.
Pour les zones nécessitant une sécurité renforcée (sites industriels, zones Seveso, établissements recevant du public sensibles), ce délai peut être allongé à 12 mois, à condition de le justifier dans votre registre des traitements.
Bonne pratique Sygnly : notre solution supprime automatiquement les données des visiteurs après la durée configurée par l'administrateur. Vous n'avez rien à faire manuellement — la conformité est assurée par défaut.
Les sanctions encourues en cas de non-conformité
La CNIL a renforcé ses contrôles depuis 2022. Les sanctions pour non-conformité au RGPD peuvent atteindre :
- 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel pour les manquements mineurs
- 20 millions d'euros ou 4% du CA mondial pour les violations graves
Dans la pratique, les PME n'écopent pas de ces amendes maximales. Mais des sanctions de 10 000 à 50 000 euros ont déjà été prononcées pour des manquements liés aux données de salariés et de clients. Le risque est réel.
Comment se mettre en conformité facilement
La bonne nouvelle : la mise en conformité d'un registre des visiteurs n'est pas complexe. Voici les 5 étapes :
- Définir votre finalité — pourquoi collectez-vous les données de vos visiteurs ? Sécurité des accès, traçabilité, conformité légale ?
- Limiter les données collectées — supprimez tout ce qui n'est pas strictement nécessaire à cette finalité.
- Informer les visiteurs — affichez une notice RGPD visible à l'accueil ou intégrez-la dans le formulaire de check-in.
- Fixer une durée de conservation — 3 mois par défaut, et automatisez la suppression.
- Sécuriser le registre — au minimum, un accès protégé par mot de passe. Idéalement, un hébergement certifié en France.
Note : Sygnly est conçu pour respecter ces 5 étapes par défaut. La notice RGPD est affichée sur la tablette d'accueil lors du check-in. La purge automatique des données est configurée. L'hébergement est 100% France (NVHCloud / RVHHost). Et votre DPO peut accéder aux logs d'audit à tout moment.
Ce que dit la CNIL sur les registres numériques
La CNIL a publié en 2023 des recommandations spécifiques sur les systèmes de gestion des visiteurs. Elle précise notamment que :
- Les données doivent être hébergées dans l'UE
- Le consentement du visiteur doit être recueilli avant toute photo
- Le visiteur doit pouvoir exercer ses droits facilement (accès, rectification, suppression)
- Les sous-traitants (l'éditeur du logiciel) doivent signer un DPA (Data Processing Agreement)
Sygnly signe un DPA avec tous ses clients. Ce document détaille précisément comment nous traitons les données pour votre compte, conformément à l'article 28 du RGPD.
En résumé : checklist RGPD pour votre accueil
- ☐ Finalité du registre définie et documentée dans votre registre des traitements
- ☐ Données minimales collectées (pas d'adresse perso, pas de copie CI)
- ☐ Notice RGPD affichée et accessible au visiteur lors de l'enregistrement
- ☐ Durée de conservation définie (max 3 mois sauf justification)
- ☐ Suppression automatique des données à l'échéance
- ☐ Accès au registre sécurisé et tracé
- ☐ DPA signé avec votre prestataire logiciel
- ☐ Hébergement dans l'UE (idéalement en France)