Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Modèle de registre des violations RGPD (2026)

Modèle de registre interne des violations de données article 33(5) RGPD 2026 : champs à documenter, règles de tenue et d'accès, exemple rempli. À adapter.

L’essentiel. L’article 33(5) du RGPD impose de documenter toute violation de données personnelles dans un registre interne — y compris celles qui ne sont ni notifiées à la CNIL ni communiquées aux personnes. Ce registre est distinct de la notification à l’autorité : il est la mémoire probante de votre gestion des incidents. Le modèle ci-dessous liste tous les champs à documenter ainsi que les règles de tenue et d’accès.

Une idée reçue coûte cher : croire qu’une violation « mineure », non notifiée à la CNIL, n’a pas à être tracée. C’est l’inverse. L’article 33(5) impose de documenter toutes les violations, notifiées ou non. Le registre interne des violations est précisément ce qui permet à l’autorité de vérifier que vous avez bien qualifié chaque incident — et que votre décision de ne pas notifier était justifiée.

Dans ma pratique, ce registre est le grand oublié de la gestion des violations. Les organisations savent (parfois) qu’elles ont 72 heures pour notifier ; elles ignorent qu’elles doivent aussi tenir une trace interne de chaque incident, même clos en interne. Or c’est ce document que la CNIL demande en premier lorsqu’elle enquête sur la gestion d’une violation. Ce guide fournit un modèle complet et les règles de tenue associées.

Registre des violations, notification à la CNIL : ne confondez pas

La distinction est essentielle et souvent mal comprise.

La notification à la CNIL sous 72 heures est l’acte par lequel vous signalez à l’autorité une violation susceptible d’engendrer un risque pour les droits des personnes (article 33(1)). Elle ne concerne qu’une partie des violations.

Le registre des violations (article 33(5)) est le document interne qui recense toutes les violations, quel que soit leur niveau de risque, avec leurs effets et les mesures prises. Il inclut donc aussi bien les incidents notifiés que ceux jugés sans risque et non notifiés.

Notification 72h — art. 33(1) Registre interne — art. 33(5)
Destinataire La CNIL Usage interne / mis à disposition sur demande
Périmètre Violations à risque Toutes les violations
Objet Signaler Documenter et démontrer
Déclenchement Risque avéré Tout incident, dès qualification

Le registre est donc le socle : chaque violation y entre. Ensuite seulement, on décide si elle doit être notifiée à la CNIL et/ou communiquée aux personnes.

Le cadre légal : article 33(5)

L’article 33(5) dispose que le responsable de traitement « documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation, ses effets et les mesures prises pour y remédier ». Il précise que cette documentation doit permettre à l’autorité de contrôle de vérifier le respect de l’article 33.

Trois enseignements en découlent :

  • Le registre couvre toutes les violations, indépendamment de la décision de notifier ou non. Une violation évaluée comme sans risque doit tout de même figurer au registre, avec la justification de cette évaluation.
  • Le registre est un instrument du principe de responsabilité (article 5(2)) : il sert à démontrer votre conformité.
  • Le contenu minimal est triple : les faits, les effets, les mesures.

Le registre s’articule avec les articles 33 (notification à l’autorité) et 34 (communication aux personnes concernées en cas de risque élevé), et avec la définition de la violation à l’article 4(12) : toute violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données. Il incombe au responsable de traitement, dont il documente les défaillances de sécurité, et s’inscrit dans la démarche plus large d’audit RGPD de l’organisation. Pour la démarche complète de gestion d’un incident, voir le guide notification de violation de données.

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 2 juillet 2026.

Modèle de registre des violations de données

REGISTRE DES VIOLATIONS DE DONNÉES PERSONNELLES (art. 33(5) RGPD) [Nom de l’organisation] — Responsable du registre : [DPO / référent] — Version : [x.x]

Fiche par violation — Référence : VIOL-[aaaa]-[n°]

Rubrique Contenu à documenter
Référence / n° VIOL-[aaaa]-[001]
Date et heure de la violation [ou période estimée si inconnue]
Date et heure de découverte [point de départ du délai de 72h]
Mode de découverte [alerte technique, signalement salarié, tiers, sous-traitant…]
Nature de la violation [confidentialité / intégrité / disponibilité — art. 4(12)]
Description des faits [ce qui s’est passé, cause, systèmes concernés]
Catégories de données concernées [ordinaires / sensibles (art. 9) / identifiants / bancaires…]
Catégories de personnes concernées [clients, salariés, prospects…]
Volume estimé [nombre approximatif de personnes et d’enregistrements]
Conséquences probables [usurpation, préjudice matériel/moral, indisponibilité…]
Évaluation du risque [faible / moyen / élevé — méthode et justification]
Notification CNIL [Oui — date / Non — motif documenté]
Communication aux personnes (art. 34) [Oui — date, canal / Non — motif]
Mesures correctives et de remédiation [confinement, correctif, réinitialisation, restauration…]
Mesures préventives [pour éviter la répétition]
Sous-traitant impliqué [le cas échéant + date d’information reçue]
Statut [en cours / clôturée — date de clôture]
Rédacteur / responsable de la fiche [nom, fonction]

Reproduire une fiche par violation. Conserver les pièces justificatives (logs, échanges, décisions).

Exemple rempli : e-mail envoyé au mauvais destinataire

Pour illustrer une violation « mineure » qui doit néanmoins figurer au registre :

Rubrique Exemple
Référence VIOL-2026-014
Nature Violation de confidentialité
Faits Envoi par erreur d’un fichier de 40 clients (nom, e-mail, montant de commande) à un destinataire externe non autorisé
Données Données ordinaires + données financières limitées
Personnes 40 clients
Évaluation du risque Faible : destinataire identifié, coopératif, suppression confirmée, absence de données sensibles
Notification CNIL Non — risque évalué comme faible, justification consignée
Communication personnes Non
Mesures Demande de suppression au destinataire, confirmation obtenue ; rappel de procédure ; activation de la confirmation de destinataire externe
Statut Clôturée

Cet exemple montre l’intérêt du registre : même sans notification, la décision de ne pas notifier est tracée et justifiée. C’est exactement ce que la CNIL vérifie.

Qualifier l’incident : la clé du registre

Chaque fiche repose sur une qualification en trois temps, qui doit apparaître explicitement dans le registre.

  1. Est-ce une violation ? — Il faut une atteinte effective à la sécurité entraînant destruction, perte, altération, divulgation ou accès non autorisé (article 4(12)). Une simple tentative infructueuse n’en est pas une.
  2. Quelle est la nature de l’atteinte ? — Confidentialité (accès ou divulgation non autorisés), intégrité (altération), ou disponibilité (perte ou indisponibilité). Une même violation peut cumuler plusieurs natures.
  3. Quel est le niveau de risque pour les personnes ? — C’est cette évaluation qui commande la suite : pas de risque (registre seul), risque (notification CNIL), risque élevé (communication aux personnes au titre de l’article 34).

L’évaluation du risque s’apprécie au regard de plusieurs facteurs : la nature des données (les données sensibles élèvent le risque), le volume, la facilité d’identification des personnes, la gravité des conséquences possibles, et le caractère réversible ou non de l’atteinte. Le registre doit conserver la trace de ce raisonnement, et non seulement sa conclusion : c’est le raisonnement que la CNIL contrôle. Une décision de ne pas notifier fondée sur une évaluation documentée est défendable ; la même décision sans justification écrite ne l’est pas.

Règles de tenue et d’accès

Le registre n’est pas un simple tableau : sa valeur probante dépend de sa tenue.

  • Exhaustivité — Toute violation y entre, dès sa qualification, y compris les incidents résolus en interne.
  • Alimentation en temps réel — La fiche est ouverte dès la découverte ; elle démarre le décompte des 72 heures et sert de fil conducteur à la gestion.
  • Accès restreint — Le registre contient des informations sensibles sur les failles de l’organisation. Son accès est limité au DPO, au référent sécurité et à la direction. Il ne s’agit pas d’un document public.
  • Conservation — Conservez chaque fiche et ses justificatifs pendant une durée cohérente avec le délai de prescription et la capacité à démontrer votre conformité (généralement plusieurs années).
  • Lien avec les pièces — Rattachez les preuves : logs, échanges avec le sous-traitant, décision de notification, accusé de réception CNIL.

Pour centraliser la déclaration interne des incidents, calculer automatiquement l’échéance des 72 heures et conserver l’ensemble des pièces justificatives, un logiciel RGPD permet de structurer le registre et de tracer chaque décision de notifier ou non.

Erreurs fréquentes

Erreur Conséquence
Ne tracer que les violations notifiées Manquement à l’article 33(5)
Aucune justification de la non-notification Décision non défendable en contrôle
Registre ouvert après coup, non horodaté Perte de valeur probante
Accès trop large au registre Exposition des failles internes
Oublier les incidents remontés par un sous-traitant Chaîne de gestion incomplète
Confondre registre et notification CNIL Documentation interne inexistante

L’absence de registre est un manquement autonome, indépendant de la bonne gestion d’une violation par ailleurs. La CNIL peut sanctionner le seul défaut de documentation, même si la violation a été correctement notifiée. À l’inverse, un registre bien tenu est votre meilleure défense : il démontre une gestion maîtrisée et des décisions justifiées.

FAQ

Dois-je inscrire les violations non notifiées à la CNIL ?

Oui, sans exception. L’article 33(5) impose de documenter toute violation, y compris celles dont vous estimez qu’elles ne présentent pas de risque et que vous décidez de ne pas notifier. C’est précisément l’intérêt du registre : consigner la violation et la justification de la non-notification, que la CNIL pourra vérifier.

Quelle différence avec la notification des 72 heures ?

La notification 72h est un signalement adressé à la CNIL pour les violations à risque. Le registre est un document interne qui recense toutes les violations, notifiées ou non. Le registre est le socle documentaire ; la notification n’en est qu’une conséquence possible pour certaines violations.

Qui doit avoir accès au registre des violations ?

Un cercle restreint : le DPO ou référent RGPD, le responsable sécurité, la direction. Le registre décrit les failles de l’organisation et les incidents subis — sa diffusion large créerait un risque de sécurité. Réservez-le aux personnes ayant à en connaître, et protégez-le comme un document sensible.

Combien de temps conserver les fiches de violation ?

Aucune durée n’est fixée par le texte. Conservez chaque fiche assez longtemps pour pouvoir démontrer votre conformité et couvrir les délais de prescription applicables — en pratique, plusieurs années. La durée doit être cohérente avec votre politique de conservation et documentée.

Une tentative d’intrusion sans accès aux données est-elle une violation à inscrire ?

Une tentative infructueuse, sans destruction, perte, altération, divulgation ni accès aux données, n’est pas une violation au sens de l’article 4(12) — c’est un incident de sécurité. Elle n’a pas à figurer au registre des violations, mais mérite d’être suivie dans votre gestion des incidents de sécurité. Dès qu’il y a un accès ou une atteinte effective aux données, en revanche, l’inscription s’impose.

Le sous-traitant tient-il aussi un registre des violations ?

Le sous-traitant a l’obligation de notifier toute violation au responsable de traitement dans les meilleurs délais (article 33(2)). L’obligation de tenir le registre de l’article 33(5) pèse sur le responsable de traitement. En pratique, un sous-traitant sérieux tient sa propre trace des incidents pour alimenter ses clients et démontrer sa diligence, mais le registre au sens de l’article 33(5) est celui du responsable.