DPO externe pour cabinets dentaires : guide

·

Un cabinet dentaire constitué en établissement de santé et légalement tenu de conserver des dossiers médicaux doit désigner un délégué à la protection des données (DPO). La LOPDGDD (loi organique espagnole 3/2018 relative à la protection des données) exempte les professionnels de santé exerçant à titre individuel, mais cette exception impose d'analyser la structure réelle : personnel, société, établissement autorisé, moyens partagés et responsable effectif du traitement. Le DPO peut être externe, doit agir en toute indépendance et ne se substitue pas à la responsabilité du cabinet.

Quand la désignation d'un DPO est-elle obligatoire en dentisterie

L'article 37 du RGPD impose la désignation d'un DPO pour les autorités et organismes publics, pour les traitements dont l'activité principale implique un suivi régulier et systématique à grande échelle des personnes, et pour les traitements à grande échelle de catégories particulières de données, entre autres cas.

En Espagne, l'article 34.1.l de la LOPDGDD ajoute expressément les établissements de santé légalement tenus de conserver des dossiers médicaux. Il exempte les professionnels de santé qui, bien que soumis à cette obligation, exercent à titre individuel.

L'AEPD (autorité espagnole de protection des données) rappelle que les établissements de santé publics et privés doivent disposer d'un DPO, tandis que l'exception s'applique au professionnel exerçant à titre privé et individuel. Un cabinet doté d'une entité juridique propre, d'une autorisation en tant qu'établissement, de plusieurs praticiens ou d'une structure organisée ne devrait donc pas présumer de l'exception sans une analyse documentée.

Grille d'analyse indicative

Situation Critère initial Action prudente
Dentiste indépendant, sans structure d'établissement Peut relever de l'exception Documenter la forme d'exercice et vérifier l'article 37 du RGPD
Cabinet dentaire constitué en établissement de santé Désignation obligatoire Nommer et notifier le DPO
Société avec plusieurs cabinets ou praticiens Généralement un établissement de santé Analyser les responsables et désigner un DPO
Praticien au sein d'un cabinet tiers L'établissement est généralement responsable Confirmer les rôles contractuels
Groupe avec établissements et services communs Traitements coordonnés et complexes Définir les responsables et le périmètre du DPO

La décision ne doit pas reposer uniquement sur le volume de patients. En droit espagnol, ce qui est déterminant, c'est le statut d'établissement de santé et l'obligation légale de tenir un dossier médical.

Ce qu'apporte un DPO externe

Le DPO informe et conseille, contrôle la conformité, participe aux analyses d'impact, coopère avec l'autorité de contrôle et sert de point de contact. Il doit être associé, en temps utile, aux projets et décisions qui concernent les données.

Un service externe peut apporter une expertise spécialisée et une continuité sans créer de poste en interne, mais doit préserver son indépendance. Le contrat doit préciser le périmètre, la disponibilité, l'équipe, les modalités de remplacement, la confidentialité, un accès direct à la direction et l'absence de conflits d'intérêts.

Le DPO ne peut pas décider des finalités et des moyens d'un traitement puis en assurer lui-même le contrôle. Par exemple, la personne qui dirige l'informatique, le marketing ou l'exploitation des données peut se trouver en conflit d'intérêts si elle détermine le traitement qu'elle est censée contrôler.

Désignation et notification

Le cabinet doit :

  1. Identifier l'entité responsable ou les entités du groupe.
  2. Approuver la désignation et documenter l'indépendance et les moyens alloués.
  3. Communiquer les coordonnées du DPO à l'AEPD par le canal prévu.
  4. Publier un contact accessible aux patients.
  5. Informer en interne sur les cas où le DPO doit être consulté.
  6. Garantir un accès à la direction, sans instructions sur ses conclusions.

Un même DPO peut être désigné pour plusieurs entités s'il reste accessible et dispose de la capacité nécessaire. Le contrat doit éviter de prévoir une prise en charge nominale impossible à assurer en pratique.

Cartographie des traitements d'un cabinet dentaire

Le dossier médical est central, mais ce n'est pas le seul traitement :

Chaque activité requiert une finalité, une base juridique, des données, des destinataires, des délais, des mesures et un responsable. Le consentement ne doit pas servir de base juridique universelle. Les soins de santé et les obligations légales peuvent fournir des bases spécifiques ; le marketing ou la publication d'images exigent chacun une analyse distincte.

Dossiers médicaux : conservation et accès

La loi espagnole 41/2002 (autonomie du patient) impose aux établissements des mécanismes de conservation active et diligente. L'accès doit se justifier par des fonctions de soin, administratives ou légales. Tout le personnel n'a pas besoin de consulter le dossier complet.

Contrôles minimaux :

Les échanges cliniques ne doivent pas se dérouler sur des comptes de messagerie personnels. Si une plateforme est utilisée, il faut évaluer son contrat, sa sécurité, ses métadonnées, la localisation des données, les sauvegardes et les sous-traitants ultérieurs.

Photographies, radiographies et cas cliniques

Les images cliniques constituent des données de santé dès lors qu'elles sont rattachées à une personne ou révèlent des informations relatives aux soins. Leur usage à des fins de diagnostic relève des soins ; leur utilisation sur un site web, les réseaux sociaux, en formation ou lors de congrès répond à une finalité distincte.

Avant toute réutilisation, il faut vérifier l'existence d'une base valide, limiter les éléments identifiants et préciser le canal, le public, la durée et les modalités de retrait. Masquer les yeux ne garantit pas l'anonymisation : la denture, le visage, la voix, les dates et le contexte peuvent permettre une réidentification.

Le matériel pédagogique doit être séparé du dossier opérationnel et protégé. Tant que la personne reste identifiable, il s'agit toujours d'une donnée personnelle.

Prestataires et sous-traitants

Les logiciels cliniques, l'hébergement cloud, le support technique, le laboratoire, la destruction de documents, le centre d'appels et les sauvegardes peuvent tous accéder aux données pour le compte du cabinet. Il faut vérifier s'ils agissent en tant que sous-traitants, responsables indépendants, ou les deux selon l'opération concernée.

Pour les sous-traitants, l'article 28 du RGPD impose un contrat précisant l'objet, la durée, la nature, la finalité, les données, les personnes concernées et les obligations. Le prestataire doit offrir des garanties suffisantes, contrôler ses propres sous-traitants ultérieurs, aider à l'exercice des droits et à la gestion des incidents, et restituer ou supprimer les données à la fin du contrat.

Diligence raisonnable minimale

Un contrat signé ne remplace pas une vérification technique.

Droits des patients

Le cabinet doit disposer d'un canal pour l'accès, la rectification, l'effacement, la limitation, l'opposition et les autres droits. Le demandeur est identifié sans exiger de données disproportionnées, et chaque demande est consignée avec sa date, son étendue et la réponse apportée.

L'accès au dossier médical doit être coordonné avec la loi 41/2002 et doit protéger les annotations subjectives ainsi que les droits des tiers dans les conditions applicables. Rectifier une donnée administrative n'équivaut pas à effacer une appréciation clinique ; l'intégrité et la traçabilité du dossier doivent être préservées.

L'effacement n'est pas automatique en cas d'obligation de conservation ou de nécessité liée à l'établissement de responsabilités. Une politique par catégories, avec verrouillage le cas échéant, doit être appliquée, en évitant de conserver les données indéfiniment « au cas où ».

Violations de données

Un cabinet doit pouvoir détecter, contenir et évaluer la perte d'un ordinateur portable, un rançongiciel, un e-mail envoyé au mauvais destinataire, l'accès d'un ancien salarié ou l'exposition de sauvegardes.

La procédure comprend :

  1. Un canal de signalement interne immédiat.
  2. Confinement et préservation des preuves.
  3. Identification des données et des personnes concernées.
  4. Conséquences probables.
  5. Mesures adoptées.
  6. Une décision sur la notification à l'AEPD dans le délai applicable.
  7. Communication aux personnes concernées en cas de risque élevé.
  8. Un registre de toute violation, qu'elle soit notifiée ou non.

Le prestataire doit avertir le responsable du traitement sans délai injustifié. Le contrat doit prévoir un délai opérationnel plus strict que le délai maximal applicable au responsable.

Analyse d'impact relative à la protection des données

Toutes les cliniques n'ont pas besoin d'une AIPD pour chaque traitement, mais elle doit être envisagée dès qu'un risque élevé est probable : nouvelles technologies, biométrie, surveillance systématique, croisement massif de données, IA clinique ou profilage significatif.

L'AIPD décrit le traitement, sa nécessité, sa proportionnalité, les risques pour les personnes et les mesures prévues. Le DPO conseille, mais c'est le cabinet qui approuve l'analyse et assume le risque résiduel.

Plan annuel du DPO externe

Au démarrage

Chaque trimestre

Chaque année

Le rapport doit distinguer clairement les manquements, les risques, les recommandations et les décisions acceptées par la direction.

Comment choisir un DPO externe

Le choix ne doit pas se faire uniquement sur le prix ou sur la remise de modèles types. Il convient d'évaluer :

Demandez combien d'heures réelles sont incluses, qui prendra en charge le dossier, comment le conseil est documenté et ce qui se passe en cas de violation. Une nomination formelle sans intervention réelle ne remplit pas la finalité de la fonction.

Erreurs fréquentes

  1. Appliquer l'exception du professionnel individuel à un cabinet structuré.
  2. Désigner un DPO sans le notifier ni publier ses coordonnées.
  3. Faire dépendre le DPO de la personne qui décide des traitements.
  4. Utiliser le consentement comme base pour tous les soins de santé.
  5. Partager les comptes du logiciel clinique.
  6. Envoyer des dossiers médicaux par des canaux personnels.
  7. Publier des cas cliniques insuffisamment anonymisés.
  8. Signer des contrats sans vérifier les sous-traitants ni les sauvegardes.
  9. Conserver l'ensemble des données indéfiniment.
  10. Informer tardivement le DPO des projets ou des incidents.

Liste de vérification de mise en œuvre

Questions fréquentes

Tout cabinet dentaire a-t-il besoin d'un DPO ?

Pas nécessairement. La LOPDGDD exempte le professionnel de santé exerçant à titre individuel. Un cabinet ou une société structurée en établissement doit faire l'objet d'une analyse distincte.

Le DPO peut-il être externe ?

Oui. Il doit réunir les connaissances, l'indépendance, les moyens et l'accessibilité nécessaires.

Le DPO est-il responsable en cas de sanction ?

La responsabilité de la conformité incombe au responsable du traitement ou au sous-traitant. Le DPO conseille et contrôle en toute indépendance.

Le DPO peut-il aussi être responsable informatique ?

Un conflit peut survenir si cette personne détermine les finalités et les moyens du traitement. C'est la fonction réelle qui doit être évaluée, pas seulement le titre du poste.

Faut-il recueillir un consentement pour traiter le dossier médical ?

Les soins de santé reposent généralement sur d'autres bases juridiques et exceptions légales. Il faut néanmoins informer les patients et analyser séparément chaque finalité additionnelle.

Le cabinet peut-il utiliser WhatsApp ?

La décision ne doit pas reposer uniquement sur la popularité de l'outil. Il faut évaluer le contrat, la sécurité, les métadonnées, l'appareil, la finalité, les alternatives disponibles et les attentes raisonnables du patient.

Sources officielles consultées

Summum Consultoría peut assumer la fonction de DPO externe selon un plan fondé sur les risques. Cette désignation ne remplace ni les décisions propres du cabinet ni un conseil de santé spécifique.