L’article 33(5) du RGPD impose au responsable de traitement de documenter toute violation de données personnelles — y compris celles qui ne sont pas notifiées à la CNIL : « le responsable du traitement documente toute violation […] en indiquant les faits concernant la violation, ses effets et les mesures prises pour y remédier ». C’est le registre des violations. Sa finalité est explicite dans le texte : permettre à l’autorité de contrôle de vérifier le respect de l’article 33. Un registre vide ou inexistant lors d’un contrôle signifie soit que vous n’avez jamais eu d’incident (improbable), soit que vous ne les détectez pas (manquement à l’article 32), soit que vous ne les documentez pas (manquement à l’article 33(5)).
Voici le modèle complet, champ par champ, avec deux exemples remplis. Pour la procédure amont (détection, qualification, notification 72 h), voir notre modèle de procédure de violation et notre guide de la notification de violation.
Ce que le registre doit contenir
Le texte impose trois blocs : les faits, les effets, les mesures. Les lignes directrices EDPB 9/2022 recommandent d’y ajouter le raisonnement de notification — c’est la partie que la CNIL scrute : pour chaque violation non notifiée, vous devez pouvoir justifier pourquoi le risque était improbable. Champs recommandés :
- Identification : numéro, dates (survenance, détection, clôture), source de détection
- Faits : nature de la violation (confidentialité / intégrité / disponibilité), description, cause, systèmes concernés
- Données et personnes : catégories et volumes de données, catégories et nombre de personnes, données sensibles ou hautement personnelles
- Effets : conséquences probables pour les personnes, évaluation du risque (improbable / risque / risque élevé) avec justification
- Mesures : confinement, remédiation, prévention de la récurrence
- Décisions : notification CNIL (oui/non + motif + date + référence), communication aux personnes (oui/non + motif + date), sous-traitant impliqué, autres autorités (ANSSI, assureur, plainte pénale)
Modèle de registre des violations (template tableau)
REGISTRE DES VIOLATIONS DE DONNÉES PERSONNELLES — [Société] Tenu par : [DPO / référent RGPD] — conformément à l’article 33(5) RGPD
Champ Violation n° 2026-001 Violation n° 2026-002 Date de survenance 14/03/2026 02/05/2026 (estimée) Date et source de détection 14/03/2026, signalement du salarié 06/05/2026, alerte SOC Nature Confidentialité Confidentialité + disponibilité Description des faits Email RH contenant les bulletins de paie de 12 salariés adressé par erreur à un destinataire externe Compromission d’un compte administrateur par phishing ; chiffrement partiel du serveur de fichiers ; exfiltration suspectée Cause Erreur humaine (autocomplétion) Phishing + absence de MFA sur le compte Systèmes concernés Messagerie Serveur de fichiers, AD Catégories de données Identité, NIR, rémunération Identité, coordonnées, contrats clients Personnes concernées 12 salariés ~3 400 clients Données sensibles / à risque NIR, données financières Non, mais volume significatif Conséquences probables Divulgation limitée à un destinataire identifié Usurpation d’identité, phishing ciblé Évaluation du risque Risque (limité : destinataire identifié, suppression confirmée) Risque élevé Mesures immédiates Demande de suppression confirmée par écrit ; rappel procédure au service RH Isolement du serveur, révocation des comptes, restauration sauvegardes J-1 Mesures correctives Activation du délai d’envoi différé ; formation ciblée MFA généralisé ; EDR déployé ; audit des habilitations Notification CNIL Oui — 16/03/2026 — réf. [n°] Oui — 07/05/2026 (initiale), complément 12/05 — réf. [n°] Si non-notification : justification — — Communication aux personnes Oui — les 12 salariés informés le 15/03 Oui — email du 09/05 + FAQ dédiée Sous-traitant impliqué Non Non Autres démarches — Dépôt de plainte le 07/05 ; assureur cyber notifié Statut / clôture Clôturée le 20/03/2026 Clôturée le 30/06/2026 — REX du 15/06
Un troisième cas type à documenter : la violation non notifiée. Exemple : perte d’un ordinateur portable intégralement chiffré (clé non compromise) → risque improbable, pas de notification, mais ligne au registre avec la justification « chiffrement AES-256, authentification pré-boot, clé non compromise, effacement à distance déclenché » — c’est exactement le cas visé par l’article 33(5).
Comment adapter ce modèle
Choisissez un support qui trace. Tableur possible en petite structure, mais préférez un outil avec horodatage et contrôle d’accès : le registre contient lui-même des informations confidentielles (failles exploitées, incidents non publics) et doit être protégé en conséquence. Legiscope permet de tenir ce registre au même endroit que votre registre des traitements, avec les traitements concernés reliés à chaque violation.
Reliez chaque violation à votre registre des traitements. La ligne « systèmes concernés » doit renvoyer aux traitements affectés : c’est ce qui permet d’évaluer rapidement les catégories de données et de personnes, et de nourrir la mise à jour de votre analyse de risques article 32.
Documentez le raisonnement, pas seulement la conclusion. « Risque improbable » sans justification ne protège pas ; la grille EDPB/ENISA (nature des données, facilité d’identification, gravité, caractéristiques des personnes) doit transparaître dans le champ évaluation. En cas de désaccord ultérieur de la CNIL, un raisonnement documenté et défendable au moment des faits pèse lourd.
Intégrez les violations chez vos sous-traitants. L’article 33(2) leur impose de vous alerter ; leur violation est la vôtre au regard du registre. Ajoutez le champ sous-traitant et vérifiez que vos DPA prévoient un délai d’alerte de 24-48 h et la transmission des éléments de l’article 33(3).
Erreurs courantes
- Ne documenter que les violations notifiées : contresens direct sur l’article 33(5), qui vise toutes les violations. Les « petites » violations non consignées sont la première anomalie relevée en contrôle.
- Confondre registre des violations et registre des traitements : deux documents distincts, deux fondements (articles 33(5) et 30), deux logiques — l’un est événementiel, l’autre structurel.
- Registre reconstruit a posteriori : les métadonnées trahissent les registres remplis la veille du contrôle. Documentez au fil de l’eau, dans les jours suivant chaque incident.
- Aucune purge ni politique de conservation : le registre se conserve de manière pérenne (il documente votre conformité), mais les pièces annexes contenant des données personnelles (exports, logs) suivent vos durées de conservation.
- Ne jamais l’exploiter : un registre est aussi un outil de pilotage — trois emails mal adressés au même trimestre justifient une mesure structurelle (envoi différé, DLP), pas trois lignes de plus. Présentez une synthèse annuelle à la direction, comme le fait un DPO dans son rapport.
FAQ
Le registre des violations est-il obligatoire même sans aucune violation ?
L’obligation naît avec la première violation, mais l’absence totale d’incident sur plusieurs années est rarement crédible : les erreurs d’envoi et pertes d’équipements arrivent partout. Créez le registre dès maintenant, à vide, adossé à votre procédure de gestion des violations : c’est la preuve que le dispositif existe.
Qui doit tenir le registre : le responsable de traitement ou le sous-traitant ?
L’article 33(5) vise le responsable de traitement. Le sous-traitant a l’obligation d’alerter son client (article 33(2)) et, en pratique, tient son propre registre d’incidents au titre de ses mesures article 32 et de ses engagements contractuels — les obligations du sous-traitant le rendent d’ailleurs directement sanctionnable.
La CNIL peut-elle demander le registre des violations ?
Oui : c’est la finalité même du texte (« permettre à l’autorité de contrôle de vérifier le respect du présent article »), et il figure dans les pièces demandées lors des contrôles. Le refus de communication est un manquement à l’obligation de coopération (article 31).
Que risque-t-on en cas de registre absent ou lacunaire ?
Le manquement à l’article 33 relève du plafond de 10 millions d’euros ou 2 % du chiffre d’affaires mondial (article 83(4)(a)). En pratique, le registre lacunaire aggrave surtout le dossier lors d’une violation notifiée tardivement : impossible de démontrer votre bonne foi sans documentation contemporaine des faits. Voir les lignes directrices EDPB 9/2022 et le téléservice de notification CNIL.
Conclusion
Le registre des violations est le document RGPD le plus simple à mettre en place : un tableau, dix-huit champs, une discipline de remplissage au fil de l’eau. Copiez le template ci-dessus, créez le registre aujourd’hui même à vide, reliez-le à votre procédure de violation et à votre registre des traitements. Le jour où l’incident sérieux survient — ou celui où la CNIL contrôle — ce tableau tenu proprement sera votre meilleure pièce à décharge.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial