Le registre des violations de donnees est une obligation imposee par l’article 33 du RGPD. Chaque organisme doit documenter toute violation de donnees personnelles, qu’elle ait ete notifiee ou non a la CNIL. En 2025, disposer d’un registre structure et a jour est indispensable pour demontrer sa conformite et reagir efficacement en cas d’incident.
Qu’est-ce qu’une violation de donnees personnelles ?
Une violation de donnees personnelles est un incident de securite qui entraine, de maniere accidentelle ou illicite, la destruction, la perte, l’alteration, la divulgation non autorisee ou l’acces non autorise a des donnees personnelles. Cela inclut par exemple : un e-mail envoye au mauvais destinataire, une cle USB perdue contenant des fichiers clients, un rancongiciel chiffrant des bases de donnees, ou encore un acces non autorise a un compte utilisateur.
Pourquoi tenir un registre des violations ?
L’article 33.5 du RGPD impose a tout responsable de traitement de documenter toute violation de donnees personnelles. Ce registre doit contenir les faits concernant la violation, ses effets et les mesures prises pour y remedier. Il permet a la CNIL de verifier le respect de l’obligation de notification et constitue une preuve de la diligence de l’organisme. L’absence de registre peut entrainer des sanctions administratives.
Que doit contenir le registre ?
Pour chaque violation, le registre doit documenter : la date et l’heure de decouverte de l’incident, la nature de la violation (confidentialite, integrite, disponibilite), les categories et le nombre approximatif de personnes concernees, les categories et le nombre approximatif d’enregistrements de donnees touches, les consequences probables de la violation, les mesures prises ou envisagees pour remedier a la violation, et la decision de notifier ou non la CNIL avec sa justification.
Modele de registre des violations
Un registre efficace se presente sous forme de tableau avec les colonnes suivantes : numero de l’incident, date de decouverte, date de la violation, description de l’incident, type de violation, donnees concernees, nombre de personnes touchees, consequences evaluees, mesures correctives prises, notification CNIL (oui/non et date), notification des personnes concernees (oui/non et date), responsable du suivi, et statut (en cours/clos). Ce document doit etre accessible au DPO et mis a jour en temps reel.
La procedure de gestion des violations
Au-dela du registre, l’organisme doit mettre en place une procedure de gestion des incidents. Cette procedure definit : comment detecter et signaler une violation en interne, qui est responsable de l’evaluation de la gravite, dans quels cas notifier la CNIL (dans les 72 heures si risque pour les droits des personnes), quand informer les personnes concernees (si risque eleve), et comment mettre en oeuvre les mesures correctives. La procedure doit etre testee regulierement via des exercices de simulation.
Evaluer la gravite d’une violation
L’evaluation de la gravite determine les obligations de notification. Elle repose sur plusieurs criteres : le type de donnees concernees (donnees sensibles, donnees bancaires), le nombre de personnes touchees, la possibilite d’identifier les personnes, les consequences potentielles (usurpation d’identite, prejudice financier, atteinte a la reputation), et la reversibilite de la violation. La CNIL propose un outil d’aide a l’evaluation sur son site internet.
Conclusion
Le registre des violations de donnees est bien plus qu’une obligation administrative : c’est un outil essentiel de pilotage de la securite des donnees. En documentant chaque incident de maniere rigoureuse, vous ameliorez votre capacite de reaction, renforcez votre conformite RGPD et protegez efficacement les personnes dont vous traitez les donnees en 2025.
