Si vous gérez une clinique médicale privée — qu'il s'agisse de médecine générale, de kinésithérapie, d'odontologie, de psychologie, d'ophtalmologie ou de toute autre spécialité — il est très probable que vous soyez obligé de désigner un Délégué à la Protection des Données (DPO) et de l'enregistrer dûment auprès de l'Agence Espagnole de Protection des Données (AEPD). Le RGPD ne laisse aucune marge d'interprétation lorsqu'il s'agit de données de santé : elles sont considérées comme une catégorie particulière, ce qui déclenche des obligations spécifiques qui vont bien au-delà de la conformité de base.
Cet article explique précisément quand un DPO est obligatoire pour une clinique, quelles fonctions il doit remplir, pourquoi la figure externe est l'option la plus courante dans les PME du secteur de la santé, et quelles sont les fourchettes de prix réelles du marché en Espagne en 2026. Vous ne trouverez pas ici les tarifs de Summum : les chiffres que nous publions sont des références de marché basées sur des sources sectorielles.
Ce que dit la réglementation : RGPD et LOPDGDD
L'article 37.1 du Règlement (UE) 2016/679 (RGPD) établit trois hypothèses qui obligent à désigner un DPO. Celle qui concerne directement le secteur sanitaire est celle figurant au point c : lorsque le responsable du traitement ou le sous-traitant effectue, à grande échelle, un traitement de catégories particulières de données visées à l'article 9. Les données relatives à la santé sont, par définition, une catégorie particulière.
La Loi organique 3/2018 (LOPDGDD), en son article 34, étend les hypothèses au niveau national et mentionne expressément les centres de santé qui traitent des données de patients. L'AEPD a également publié un guide sur le DPO précisant que le critère de «grande échelle» doit s'interpréter en fonction du nombre de personnes concernées, du volume de données, de la durée des traitements et de l'étendue géographique, mais que dans le domaine sanitaire, la seule existence d'une base de dossiers cliniques actifs de patients peut déjà suffire.
En pratique, toute clinique disposant de dossiers cliniques actifs de patients — même si elle n'a qu'un seul médecin — doit évaluer le caractère obligatoire de cette désignation. Pour les cliniques regroupant plusieurs professionnels, plusieurs spécialités ou plusieurs sites, l'obligation est quasi certaine.
Quand le DPO est-il obligatoire pour une clinique privée : tableau des hypothèses
| Type de centre | DPO obligatoire ? | Base légale |
|---|---|---|
| Clinique avec dossier médical électronique et plus de 200 patients actifs | Oui, avec forte probabilité | RGPD art. 37.1.c + LOPDGDD art. 34 |
| Cabinet de psychologie ou de psychiatrie (données sensibles supplémentaires) | Oui | RGPD art. 37.1.c et art. 9 |
| Centre de kinésithérapie avec une patientèle chronique | Oui, dans la quasi-totalité des cas | RGPD art. 37.1.c |
| Clinique dentaire avec laboratoire de prothèse externe | Oui (traitement à grande échelle + sous-traitant) | RGPD art. 37.1.c |
| Médecin libéral individuel, sans employés, sans dossier numérisé | Exception probable, analyse au cas par cas | Considérant 97 RGPD |
| Clinique ayant des accords avec des assureurs (Sanitas, Adeslas, Asisa…) | Oui (flux de données vers des tiers) | RGPD arts. 26, 37 et 28 |
L'AEPD a sanctionné des cliniques privées précisément pour ne pas avoir désigné de DPO alors que l'obligation existait. Le montant des amendes pour infraction à l'article 37 s'inscrit dans le niveau des infractions graves de l'article 83.4 du RGPD : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, bien que le critère de proportionnalité réduise ce plafond pour les PME.
Fonctions du DPO dans une clinique médicale
Le DPO n'est pas simplement une personne qui signe des documents. Ses fonctions sont énumérées à l'article 39 du RGPD et sont exigibles qu'il s'agisse d'une personne interne ou externe :
- Informer et conseiller le centre et son personnel sur les obligations découlant du RGPD et de la LOPDGDD.
- Contrôler le respect : vérifier que les traitements de données (dossiers médicaux, vidéosurveillance, données relatives aux mineurs, etc.) sont effectués conformément au cadre légal.
- Conseiller sur les Analyses d'Impact relatives à la Protection des Données (AIPD), obligatoires lorsque des données de santé sont traitées à grande échelle ou avec des technologies telles que la télémédecine.
- Coopérer avec l'AEPD et servir de point de contact en cas de réclamation ou d'enquête.
- Gérer les violations de données : dans le secteur sanitaire, la fuite d'un dossier médical doit être notifiée à l'AEPD dans un délai de 72 heures.
Dans l'environnement d'une clinique privée, le DPO externe se charge également de la formation du personnel (médecins, personnel administratif, agents d'entretien ayant accès aux zones où se trouvent des données), de la mise à jour du Registre des Activités de Traitement (RAT) — document obligatoire en vertu de l'article 30 du RGPD — et de la révision des contrats avec les sous-traitants tels que les laboratoires, les fournisseurs de logiciels de gestion clinique ou les assureurs.
DPO interne ou DPO externe : pourquoi les cliniques privées optent presque toujours pour la figure externe
Le RGPD permet aussi bien la désignation interne qu'externe. Cependant, dans les PME du secteur de la santé, la balance penche systématiquement vers le DPO externe pour plusieurs raisons :
- Indépendance garantie. L'article 38.3 du RGPD interdit au DPO de recevoir des instructions dans l'exercice de ses missions. Un employé du centre qui dépend simultanément du directeur médical peut difficilement exercer cette indépendance. Le DPO externe la possède de manière structurelle.
- Expertise spécialisée sans coût de formation. Recruter et former un DPO interne au niveau exigé par l'AEPD (réglementation sanitaire + RGPD + LOPDGDD + NIS2 dans certains cas) demande du temps et de l'argent que la plupart des cliniques privées n'ont pas.
- Disponibilité en cas d'incident. Un DPO externe disposant d'un portefeuille de clients dans le secteur de la santé est disponible pour gérer une violation de données dans le délai de 72 heures fixé par le RGPD ; un DPO interne en vacances ou en arrêt maladie ne l'est pas.
- Continuité du service. Si le DPO interne quitte ses fonctions, la clinique se retrouve immédiatement en situation de non-conformité. Avec un prestataire externe, le contrat garantit la continuité.
Si vous souhaitez approfondir la façon dont ce service est structuré pour le secteur de la santé, vous pouvez consulter la page RGPD santé de Summum Consultoría, qui détaille les traitements spécifiques à l'environnement clinique et les mesures de sécurité exigées par la réglementation espagnole.
Combien coûte un DPO externe pour une clinique en Espagne en 2026
Les prix du marché en Espagne pour le service de DPO externe dans le secteur sanitaire varient en fonction de plusieurs facteurs. Voici un tableau de fourchettes indicatives basées sur l'offre du marché (source : analyse sectorielle de cabinets spécialisés en protection des données, 2025-2026) :
| Profil de la clinique | Fourchette de prix annuelle (environ) | Facteurs qui font monter le prix |
|---|---|---|
| Cabinet individuel ou duo (1-2 professionnels, 1 site) | 800 € – 1 800 € / an | Télémédecine, mineurs, logiciel cloud tiers |
| Petite clinique (3-10 professionnels, 1 site) | 1 800 € – 3 500 € / an | Spécialités sensibles (psychologie, oncologie), vidéosurveillance |
| Clinique moyenne (11-30 professionnels, 1-3 sites) | 3 500 € – 7 000 € / an | Plusieurs sites, intégration avec assureurs, DSE en cloud |
| Groupe clinique (plus de 3 sites ou 30+ professionnels) | 7 000 € – 15 000 € / an | Audits annuels, AIPD récurrentes, gestion d'incidents complexes |
Remarque : ces fourchettes sont indicatives du marché espagnol en 2026. Le prix définitif dépend du périmètre contractuel convenu avec le prestataire choisi. Certains prestataires facturent les heures supplémentaires hors contrat de base ; d'autres incluent tous les incidents dans le forfait. Comparez toujours ce qui est inclus.
Facteurs qui influencent le prix du DPO externe
- Nombre de sites et de localisations. Chaque site implique un RAT distinct, d'éventuelles AIPD supplémentaires et des déplacements ou réunions en présentiel.
- Volume de patients et nombre de traitements. Plus la base de patients est importante, plus la surface de risque est grande et plus les heures de supervision sont nécessaires.
- Technologies utilisées. La télémédecine, le dossier médical électronique en cloud (SaaS), la vidéosurveillance avec enregistrement, les applications mobiles de suivi des patients ou l'intégration avec des dispositifs médicaux connectés exigent des analyses spécifiques et des AIPD propres.
- Spécialités médicales. La psychologie, la psychiatrie, la procréation médicalement assistée ou l'oncologie génèrent des données particulièrement sensibles nécessitant des couches supplémentaires d'analyse juridique.
- Situation de départ. Une clinique qui part de zéro nécessite un projet de mise en conformité initial (entre 1 500 € et 5 000 € supplémentaires selon les tarifs du marché) avant d'entrer dans la phase de maintenance récurrente du DPO.
- Accords avec les assureurs. Agir en tant que sous-traitant pour un ou plusieurs assureurs multiplie le nombre de contrats de sous-traitance à gérer et à réviser.
Le processus de désignation du DPO : étapes concrètes
Désigner un DPO externe ne se résume pas à signer un contrat. Le processus comporte des étapes concrètes ayant des effets juridiques :
- Sélection et accréditation du DPO. Vérifier que le candidat possède des connaissances spécialisées en droit et en pratique de la protection des données, avec une expérience démontrable dans le secteur de la santé. Le RGPD n'exige pas de certification officielle, mais l'AEPD apprécie positivement la formation accréditée.
- Contrat de prestation de services. Il doit inclure les fonctions du DPO, l'engagement de confidentialité, l'indépendance fonctionnelle, l'accès aux informations nécessaires et le point de contact auprès de l'AEPD.
- Communication à l'AEPD. L'article 37.7 du RGPD oblige à publier les coordonnées du DPO et à les communiquer à l'autorité de contrôle. En Espagne, cela se fait via le portail électronique de l'AEPD. L'omission de cet enregistrement constitue en elle-même une infraction.
- Publication des coordonnées. Celles-ci doivent figurer dans la politique de confidentialité du centre et être accessibles aux patients.
- Intégration dans les processus internes. Le DPO doit être intégré dans les protocoles de gestion des incidents, dans l'examen des nouveaux traitements et dans les contrats avec les prestataires technologiques.
Sanctions réelles de l'AEPD à l'encontre des cliniques pour non-conformité
L'AEPD a sanctionné de manière systématique des centres de santé ces dernières années. Quelques exemples représentatifs tirés du moteur de recherche de résolutions de l'AEPD :
- Amendes comprises entre 3 000 € et 30 000 € à des cliniques privées pour absence de RAT, absence de DPO ou violation de la confidentialité du dossier médical.
- Sanctions pour partage de données de patients avec des assureurs sans contrat de sous-traitance formalisé.
- Procédures de sanction pour défaut de notification d'une violation de données (accès non autorisé à un dossier médical) dans le délai de 72 heures.
Le schéma est clair : l'AEPD ne sanctionne pas seulement les violations avérées, mais aussi les manquements formels tels que l'absence de DPO enregistré ou l'absence de contrats avec les sous-traitants. Remédier à ces manquements formels grâce à un service de DPO externe spécialisé dans le secteur de la santé est le moyen le plus direct d'éliminer ce risque.
DPO externe et ENS : quand les obligations se superposent
Les cliniques qui travaillent avec le système de santé public — par le biais de conventions avec les communautés autonomes ou de contrats de prestations de services au Système National de Santé (SNS) — peuvent également être soumises au Schéma National de Sécurité (ENS), qui exige des mesures techniques et organisationnelles supplémentaires pour les systèmes d'information. Dans ce cas, le DPO externe et le responsable de la sécurité ENS doivent se coordonner, bien qu'il s'agisse de figures distinctes avec des obligations différenciées.
Questions fréquentes
Une clinique n'ayant qu'un seul médecin a-t-elle besoin d'un DPO ?
Cela dépend du volume et de la nature des traitements. Le considérant 97 du RGPD reconnaît que les médecins individuels ou d'autres professionnels de la santé peuvent être exemptés de l'obligation de désigner un DPO si le traitement des données n'est pas effectué «à grande échelle». Cependant, l'AEPD a précisé dans son guide sur le DPO que même dans de petits cabinets, les dossiers médicaux numériques de centaines de patients peuvent être considérés comme un traitement à grande échelle dans le contexte sanitaire. La recommandation pratique : réaliser une analyse de risque documentée. Si la conclusion est que l'obligation ne s'applique pas, cette conclusion doit être consignée par écrit.
Le médecin responsable de la clinique peut-il lui-même exercer la fonction de DPO ?
Le RGPD ne l'interdit pas expressément, mais cela soulève de sérieux problèmes d'indépendance. L'article 38.6 précise que le DPO peut exercer d'autres missions et tâches, à condition qu'elles n'entraînent pas de conflit d'intérêts. Un médecin responsable qui prend des décisions sur les traitements de données — comment les dossiers médicaux sont gérés, quels systèmes sont contractés, comment les informations sont partagées avec les assureurs — présente un conflit d'intérêts structurel pour se superviser lui-même. L'AEPD a remis en cause cette configuration dans plusieurs procédures.
Combien de temps faut-il pour qu'un DPO externe soit opérationnel ?
Une fois le contrat signé et les coordonnées du DPO communiquées à l'AEPD, la fonction est formellement opérationnelle immédiatement. Le temps nécessaire pour que le DPO externe connaisse en profondeur les traitements de la clinique et soit en mesure de gérer les incidents avec toutes les garanties requises est généralement de 4 à 8 semaines, pendant lesquelles un diagnostic initial est réalisé, le RAT est mis à jour et les contrats avec les sous-traitants sont révisés.
Quelle est la différence entre la mise en conformité au RGPD et le service de DPO ?
Ce sont deux choses distinctes qui vont généralement de pair. La mise en conformité au RGPD est le projet initial : inventorier les traitements, rédiger le RAT, élaborer les clauses d'information, réviser ou créer des contrats avec les sous-traitants, mettre en œuvre des mesures de sécurité techniques et organisationnelles, et enregistrer le DPO. Il s'agit d'un projet de conseil avec un début et une fin. Le service de DPO externe est la maintenance récurrente : surveiller le maintien de la conformité, conseiller sur les nouveaux traitements, gérer les incidents, mettre à jour le RAT lorsque les processus changent. Pour les cliniques qui partent de zéro, les deux projets sont nécessaires : d'abord la mise en conformité, puis la maintenance continue du DPO.