Chaque fois qu'un cabinet dentaire ouvre un dossier clinique, numérise une radiographie ou envoie un rappel de rendez-vous via WhatsApp, il traite des données de catégorie particulière au sens de l'article 9 du Règlement général sur la protection des données (RGPD, Règlement UE 2016/679). Ce n'est pas un détail anodin : les données de santé bénéficient du niveau de protection le plus élevé prévu par le droit européen, et leur traitement incorrect peut entraîner des sanctions en Espagne allant de 10 000 € à 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
L'Agence espagnole de protection des données (AEPD) a sanctionné des cabinets dentaires, des centres de santé et des hôpitaux pour des violations de données, des accès non autorisés aux dossiers cliniques et l'absence de mesures techniques adéquates. Le secteur de la santé est, avec le secteur financier et celui des télécommunications, l'un de ceux qui concentre le plus grand nombre de décisions de sanction. La question n'est pas de savoir si votre cabinet doit se conformer au RGPD, mais quand et comment commencer.
Dans cet article, vous trouverez la réponse complète : ce que le règlement exige, quand la désignation d'un Délégué à la Protection des Données (DPO) est obligatoire, quelles sont ses fonctions, comment externaliser ce rôle auprès d'un DPO externe, et quelles mesures concrètes un cabinet dentaire doit prendre en 2025-2026 pour être en conformité.
Pourquoi les cabinets dentaires sont une cible prioritaire de l'AEPD
Les cabinets dentaires regroupent, dans une même base de données, des informations extrêmement sensibles : diagnostics bucco-dentaires, radiographies panoramiques et périapicales, devis liés à l'état de santé du patient, traitements effectués, médicaments prescrits et, dans de nombreux cas, données personnelles et de facturation. Tout cela au sein d'une seule organisation, souvent gérée avec des ressources informatiques minimales.
La loi organique 3/2018 relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD) renforce le RGPD dans le contexte espagnol et, dans son article 9, désigne expressément les centres de santé et les professionnels de la santé comme des entités soumises aux exigences renforcées de traitement des données de santé. De plus, la loi 41/2002 sur l'autonomie du patient définit les droits du patient sur son dossier clinique, qui se superposent aux droits des personnes concernées en vertu du RGPD (accès, rectification, effacement, portabilité).
Le profil à haut risque que l'AEPD attribue à ces entités résulte de plusieurs facteurs concomitants :
- Volume élevé de traitement de données de santé, même lorsque le cabinet emploie peu de personnes.
- Utilisation de logiciels de gestion dentaire (Gesden, Dentalink, Clinic Cloud, etc.) pouvant être mal configurés en termes de droits d'utilisateur ou de sauvegardes.
- Communication avec les patients via des canaux non sécurisés (WhatsApp personnel du professionnel, courrier électronique non chiffré).
- Transmission de données à des laboratoires, des assureurs dentaires ou des sociétés de paiement fractionné sans contrats de sous-traitance actualisés.
- Absence de Registre des Activités de Traitement (RAT) et d'analyse des risques documentée.
Quand est-il obligatoire de désigner un DPO dans un cabinet dentaire ?
L'article 37 du RGPD établit trois situations dans lesquelles la désignation d'un Délégué à la Protection des Données est obligatoire. Deux d'entre elles s'appliquent directement aux cabinets dentaires :
- Traitement à grande échelle de données de santé (art. 37.1.c RGPD). Le Groupe de travail Article 29 — devenu le Comité européen de la protection des données (CEPD) — a précisé dans les Lignes directrices sur les délégués à la protection des données (WP243rev01) que «à grande échelle» ne se mesure pas uniquement au nombre absolu de patients, mais aussi à la nature du traitement, à sa portée géographique et à sa durée. Un cabinet disposant de plusieurs fauteuils, de plusieurs sites ou gérant les dossiers cliniques actifs de milliers de patients entre dans ce seuil.
- Activité principale nécessitant une observation systématique et à grande échelle des personnes concernées (art. 37.1.b RGPD). Dans le cas d'un cabinet proposant des implants, de l'orthodontie ou de la parodontologie, le suivi continu de l'état dentaire du patient sur plusieurs mois ou années peut relever de ce cas.
De plus, l'Avis contraignant de l'AEPD de 2019 sur le secteur de la santé a précisé que les centres de santé et les cabinets qui traitent des données de santé de manière habituelle — même avec peu d'employés — doivent évaluer s'ils sont soumis à cette obligation. L'AEPD recommande généralement à toute entité de santé de désigner un DPO, même lorsque cela n'est pas strictement obligatoire, compte tenu du risque intrinsèque du traitement effectué.
En pratique, si votre cabinet compte plusieurs professionnels, traite des dossiers cliniques en continu ou utilise un logiciel de gestion clinique connecté au cloud ou partagé avec des assureurs dentaires, vous êtes soumis à cette obligation ou à sa limite. Désigner un DPO n'est pas une dépense discrétionnaire : c'est une obligation légale dont le non-respect peut être sanctionné en lui-même.
Fonctions du DPO dans un cabinet dentaire
Le DPO n'est pas un juriste qui rédige des clauses et disparaît. L'article 39 du RGPD lui attribue des fonctions spécifiques et continues qui doivent être exercées en toute indépendance effective vis-à-vis de la direction du cabinet :
- Informer et conseiller le responsable du traitement (le titulaire du cabinet) et les sous-traitants sur leurs obligations découlant du RGPD et de la LOPDGDD.
- Contrôler le respect des deux réglementations, des politiques internes de protection des données et des procédures établies, y compris la répartition des responsabilités et la formation du personnel.
- Conseiller sur l'Analyse d'Impact relative à la Protection des Données (AIPD) lorsqu'elle est requise, et superviser son application.
- Coopérer avec l'AEPD et agir comme point de contact pour les autorités de contrôle.
- Répondre aux demandes des patients concernant l'exercice de leurs droits (accès, rectification, effacement, opposition, portabilité, limitation du traitement).
- Gérer ou coordonner la réponse aux violations de données : le RGPD oblige à notifier l'AEPD dans un délai maximum de 72 heures après avoir pris connaissance d'une violation (art. 33 RGPD).
Dans le contexte spécifique d'un cabinet dentaire, le DPO doit également vérifier que les contrats de sous-traitance conclus avec les laboratoires prothétiques, les assureurs, les sociétés de financement et les fournisseurs de logiciels respectent l'article 28 du RGPD, et que les transferts internationaux de données — si le logiciel est hébergé sur un serveur hors UE — disposent des garanties appropriées prévues au Chapitre V du RGPD.
DPO interne ou DPO externe : tableau comparatif pour les cabinets dentaires
| Critère | DPO interne | DPO externe |
|---|---|---|
| Coût | Coût salarial élevé (salaire + charges sociales) ; en Espagne, un profil junior se situe entre 35 000 et 50 000 € bruts/an | Quote-part mensuelle de service ; nettement inférieure pour les cabinets ayant un seul site |
| Disponibilité | Disponibilité totale si exclusif ; conflit si d'autres fonctions s'accumulent | Disponibilité définie contractuellement ; réactivité rapide en cas d'incident |
| Indépendance | Risque réel de conflit d'intérêts s'il dépend hiérarchiquement du directeur médical | Indépendance structurelle garantie ; le RGPD exige que le DPO ne reçoive pas d'instructions dans l'exercice de ses fonctions |
| Connaissance sectorielle | Dépend du profil recruté ; peut nécessiter une formation spécifique en droit de la santé | Un DPO externe spécialisé apporte une expérience cumulée auprès de multiples cabinets et une connaissance des critères sectoriels de l'AEPD |
| Continuité | Risque de vacance en cas d'arrêt maladie, de rotation ou de licenciement | Le prestataire garantit une couverture continue du service |
| Obligation d'enregistrement auprès de l'AEPD | Oui, doit être communiqué à l'AEPD (coordonnées publiées) | Oui, de même ; le prestataire gère la démarche d'enregistrement |
| Pertinence pour les petits et moyens cabinets | Rarement justifiable : le volume ne compense pas le coût | Solution habituelle et recommandée par l'AEPD pour les PME sanitaires |
L'article 37.6 du RGPD autorise expressément que le DPO soit externe à l'organisation, sur la base d'un contrat de services. L'AEPD a confirmé cette possibilité dans de nombreuses décisions. Pour un cabinet dentaire de 3 à 15 professionnels, le DPO externe est, dans la grande majorité des cas, l'option la plus efficiente et celle qui garantit le mieux l'indépendance que la réglementation exige.
Si vous souhaitez savoir en détail comment fonctionne ce modèle, l'équipe de Summum Consultoría accompagne les organisations dans leur conformité réglementaire depuis 2007 : vous pouvez consulter le service de DPO externe pour connaître le périmètre, les phases et la méthodologie de travail.
Cas d'usage concrets : ce que vérifie un DPO dans un cabinet dentaire
1. Consentement du patient et base juridique du traitement
Tous les traitements de données dans un cabinet dentaire ne reposent pas sur le consentement. L'article 9.2 du RGPD prévoit d'autres bases légitimes pour les données de santé : la nécessité aux fins de la prestation de soins de santé (lettre h), le respect d'une obligation légale (art. 6.1.c) ou la sauvegarde des intérêts vitaux de la personne concernée (lettre d de l'art. 6, ou lettre c de l'art. 9.2). Le DPO audite la base juridique sur laquelle repose chaque traitement et identifie les erreurs fréquentes qui conduisent à demander le consentement alors que la base est en réalité le contrat de soins médicaux ou la loi 41/2002.
2. Logiciel de gestion clinique et sous-traitants
Si le cabinet utilise un logiciel SaaS hébergé dans le cloud (Clinic Cloud, Gesden Online, Dentsply Sirona Connect…), le fournisseur dispose d'un accès technique aux données cliniques. Un contrat de sous-traitance conforme à l'article 28 du RGPD doit exister, précisant la finalité, la durée, la nature du traitement et les mesures de sécurité. Le DPO examine et met à jour ces contrats, qui dans de nombreux cabinets soit n'existent pas, soit sont des formulaires génériques obsolètes.
3. Communications avec les laboratoires et les assureurs dentaires
Chaque fois que le cabinet transmet les données d'un patient — diagnostic, mesures, code de travail — à un laboratoire prothétique externe, il y a transmission de données de santé. Il en va de même lorsqu'un devis ou un rapport est envoyé à un assureur dentaire (Adeslas, Asisa, DKV, etc.). Le DPO vérifie que le patient est correctement informé de ces communications dans le contrat de services et dans la clause d'information prévue à l'article 13 du RGPD.
4. Canal WhatsApp avec les patients
L'utilisation de WhatsApp Business — et, pire encore, du WhatsApp personnel du dentiste — pour envoyer des rappels de rendez-vous, des devis ou des résultats est l'un des manquements les plus fréquemment constatés par l'AEPD. WhatsApp (Meta Platforms Ireland) traite les métadonnées des communications et n'offre pas les garanties de l'article 28 du RGPD pour les traitements sanitaires. Le DPO recommande des alternatives conformes : SMS via des prestataires ayant signé un accord de traitement des données, courrier électronique avec avis de confidentialité, ou le module de communication du logiciel de gestion clinique lui-même.
5. Gestion des violations de données
Un ransomware chiffrant le serveur hébergeant les radiographies, un ordinateur portable d'assistant perdu avec accès non chiffré au logiciel clinique, un email contenant les dossiers de plusieurs patients envoyé à la mauvaise adresse : ces trois cas constituent des violations de données à caractère personnel qui doivent être notifiées à l'AEPD dans les 72 heures (art. 33 RGPD) et, si elles présentent un risque élevé, également aux patients concernés sans délai injustifié (art. 34 RGPD). Le DPO prépare la procédure interne de gestion des violations et rédige la notification lorsqu'un incident survient.
6. Conservation et effacement des dossiers cliniques
La loi 41/2002 fixe une durée minimale de conservation des dossiers cliniques de 5 ans à compter de la date de sortie, bien que certaines communautés autonomes étendent ce délai (par exemple, au Pays Basque, la durée minimale est de 10 ans). Une fois le délai légal écoulé, le principe de limitation de la durée de conservation prévu à l'article 5.1.e du RGPD impose d'effacer ou d'anonymiser les données. Le DPO définit la politique de conservation et organise les purges périodiques dans le logiciel de gestion.
Obligations documentaires que le DPO doit maintenir à jour
Au-delà des fonctions de conseil, le DPO est le moteur du système documentaire de protection des données du cabinet. Les documents essentiels qui doivent être tenus à jour sont :
- Registre des Activités de Traitement (RAT) : obligatoire pour les organisations de plus de 250 employés (art. 30.5 RGPD), mais recommandé pour tout cabinet traitant des données à haut risque. Il doit comporter, au minimum, les finalités du traitement, les catégories de personnes concernées et de données, les destinataires, les délais d'effacement et les mesures de sécurité.
- Clauses d'information (arts. 13 et 14 RGPD) : le document d'«information de base sur la protection des données» que le patient reçoit et signe lors de la première consultation.
- Contrats de sous-traitance avec tous les tiers ayant accès aux données du cabinet.
- Analyse des risques : évaluation documentée des risques associés à chaque activité de traitement.
- Analyse d'Impact relative à la Protection des Données (AIPD) : obligatoire lorsque le traitement «est susceptible d'engendrer un risque élevé» (art. 35 RGPD). La liste des traitements nécessitant une AIPD publiée par l'AEPD en 2019 inclut le traitement à grande échelle de données de santé, l'élaboration de profils de patients et l'utilisation de nouvelles technologies de diagnostic.
- Politique de sécurité et protocoles de violation : procédure étape par étape pour détecter, contenir, analyser, notifier et documenter les incidents de sécurité.
- Registre des exercices de droits : journal des demandes d'accès, de rectification, d'effacement ou d'opposition reçues et du délai de réponse (maximum 1 mois, prorogeable de 2 mois dans les cas complexes, art. 12.3 RGPD).
Sanctions réelles de l'AEPD dans le secteur dentaire et sanitaire
Les décisions de sanction de l'AEPD sont publiques et consultables sur son siège électronique. Voici des exemples représentatifs du secteur de la santé qui illustrent les risques réels :
- Décision PS/00381/2022 : amende de 30 000 € contre un cabinet dentaire pour avoir transmis la documentation clinique d'un patient à des tiers sans base légale, en violation de l'article 5.1.f (confidentialité) et de l'article 9 (données de santé) du RGPD.
- Décision PS/00113/2023 : amende de 15 000 € contre un cabinet médical pour ne pas avoir répondu dans les délais à une demande d'accès au dossier clinique, en infraction à l'article 12 du RGPD.
- Nombreuses décisions 2021-2024 contre des centres de santé pour absence de contrat de sous-traitance avec le fournisseur de logiciel clinique, avec des amendes comprises entre 5 000 et 50 000 €.
L'AEPD met en œuvre depuis 2023 son Plan stratégique 2024-2027, qui fait du secteur de la santé une zone de supervision prioritaire. Les inspections d'office — initiées par l'Agence elle-même sans nécessité de plainte — sont de plus en plus fréquentes dans les cabinets et les centres de santé.
Pour compléter la mise en conformité dans le secteur de la santé, l'équipe de Summum Consultoría propose également le service de DPO externe pour les centres de santé, couvrant du diagnostic initial à la maintenance continue du système.
Comment mettre en œuvre la conformité RGPD dans un cabinet dentaire : feuille de route
Le processus n'est pas compliqué s'il est abordé de manière ordonnée. Voici les phases habituelles d'un projet de mise en conformité pour un cabinet dentaire :
- Audit initial (diagnostic) : inventaire de tous les traitements de données existants, identification des écarts de conformité, évaluation du logiciel et des contrats avec les tiers. Durée estimée : 2 à 4 semaines.
- Élaboration du système documentaire : rédaction du RAT, des clauses d'information, des contrats de sous-traitance et de la politique de sécurité. Le DPO pilote cette phase avec la participation du responsable du cabinet.
- Formation du personnel : assistants, réceptionnistes, hygiénistes et dentistes doivent connaître les protocoles de base : comment répondre à un patient exerçant ses droits, que faire en cas de violation, quels canaux utiliser pour communiquer avec les patients.
- Mise en œuvre des mesures techniques : chiffrement des appareils portables, configuration des droits dans le logiciel, activation de sauvegardes vérifiées, révision des mots de passe. Cette phase est coordonnée avec le prestataire informatique du cabinet (service Systèmes si l'on travaille avec le groupe Summum).
- Désignation et enregistrement du DPO : communication formelle à l'AEPD des coordonnées du DPO (obligatoire lorsque la désignation est exigée par la réglementation).
- Maintenance continue : révision annuelle du système, mise à jour des contrats et de la documentation lors de changements de logiciel ou de prestataires, gestion des exercices de droits et des incidents.
Questions fréquentes
Un cabinet dentaire unipersonnel est-il tenu de désigner un DPO ?
Cela dépend du volume et de la nature du traitement. Un cabinet unipersonnel avec un nombre limité de patients actifs et sans traitements systématiques à grande échelle peut ne pas être strictement soumis à l'obligation prévue à l'article 37 du RGPD. Cependant, l'AEPD recommande à toute entité de santé de désigner un DPO compte tenu du caractère à haut risque des données traitées. De plus, les obligations du RGPD qui ne dépendent pas du DPO — RAT, clauses d'information, contrats de sous-traitance — s'appliquent de la même manière. Disposer d'un DPO externe en modalité de conseil de base est, en tout état de cause, la manière la plus sûre de gérer le risque.
Le dentiste titulaire du cabinet peut-il lui-même être DPO ?
Ce n'est pas recommandé et, dans de nombreux cas, n'est pas conforme au RGPD. L'article 38.3 du RGPD exige que le DPO ne reçoive pas d'instructions dans l'exercice de ses fonctions et ne soit pas sanctionné pour les avoir exercées. Un dentiste qui est à la fois responsable des décisions relatives au traitement des données et DPO présente un conflit d'intérêts structurel. L'AEPD a expressément signalé cette incompatibilité dans ses guides sur le DPO. La solution correcte est de désigner un professionnel externe indépendant.
De combien de temps le cabinet dispose-t-il pour répondre si un patient demande l'accès à son dossier clinique ?
L'article 12.3 du RGPD fixe un délai maximum d'un mois à compter de la réception de la demande, prorogeable de deux mois supplémentaires dans les cas complexes, à condition que la prorogation soit communiquée à la personne concernée dans le premier mois. Parallèlement, la loi 41/2002 établit le droit du patient à accéder à son dossier clinique, ce qui renforce l'obligation. Si le cabinet ne répond pas dans les délais, le patient peut déposer une plainte auprès de l'AEPD et l'Agence peut engager une procédure de sanction.
Que se passe-t-il en cas de violation de données, par exemple une attaque par rançongiciel ?
L'article 33 du RGPD oblige à notifier la violation à l'AEPD dans un délai maximum de 72 heures à compter du moment où le cabinet en a connaissance, sauf s'il est peu probable que la violation présente un risque pour les droits et libertés des patients. Si le risque est élevé — par exemple, si les dossiers cliniques sont exposés ou chiffrés sans possibilité de récupération — les patients doivent également être informés sans délai injustifié (art. 34 RGPD). Le DPO coordonne l'ensemble du processus : la notification à l'AEPD, la communication aux patients si nécessaire et la documentation de l'incident dans le registre interne des violations.