Aller au contenu principal
Beta FinistèreDemander une démoSe connecter / S'inscrire
Retour au blogRGPD

RGPD et cabinet dentaire : le guide complet pour être en conformité en 2026

Équipe DentalIAssist
RGPD et cabinet dentaire : le guide complet pour être en conformité en 2026
Table des matières

Pourquoi le RGPD concerne directement votre cabinet dentaire

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s'applique à toute structure qui collecte ou traite des données personnelles dans l'Union européenne. Un cabinet dentaire traite quotidiennement des données de santé, classées parmi les données les plus sensibles par le règlement.

Contrairement à une idée reçue, le RGPD ne concerne pas uniquement les grandes entreprises. Un cabinet dentaire libéral, même composé d'un seul praticien, est pleinement concerné dès lors qu'il :

  • Tient des dossiers patients (papier ou numérique)
  • Envoie des rappels de rendez-vous par SMS ou email
  • Utilise un logiciel de gestion de cabinet
  • Stocke des radiographies numériques
  • Propose la prise de rendez-vous en ligne

Les sanctions en cas de non-conformité peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel. La CNIL a déjà contrôlé et sanctionné des professionnels de santé.

Les 7 obligations clés du RGPD pour les dentistes

1. Désigner un référent données personnelles

Bien que la désignation d'un DPO (Data Protection Officer) ne soit pas obligatoire pour un cabinet individuel, il est fortement recommandé de désigner un référent interne chargé de la conformité. Dans un cabinet de groupe, la désignation d'un DPO peut devenir obligatoire si le traitement de données de santé est effectué à grande échelle.

Action concrète : Nommez une personne au sein du cabinet (praticien, assistante référente) responsable des questions RGPD.

2. Tenir un registre des traitements

Le registre des activités de traitement est le document central de votre conformité. Il doit recenser :

  • Les catégories de données collectées (identité, historique médical, radiographies)
  • La finalité de chaque traitement (soins, facturation, rappels)
  • Les destinataires des données (laboratoire de prothèse, assurance, confrères)
  • La durée de conservation
  • Les mesures de sécurité appliquées

Durées de conservation recommandées :

Type de donnée Durée de conservation
Dossier médical patient 20 ans après la dernière consultation
Radiographies 10 ans minimum
Données de facturation 10 ans (obligation comptable)
Données de prise de rendez-vous 2 ans après le dernier contact
Données de prospection 3 ans après le dernier contact

3. Informer les patients

Chaque patient doit être informé, de manière claire et accessible, de :

  • L'identité du responsable de traitement (le praticien)
  • La finalité de la collecte de données
  • La base légale du traitement (obligation légale pour les soins, consentement pour le marketing)
  • Les destinataires des données
  • La durée de conservation
  • Ses droits (accès, rectification, effacement, portabilité)

Bonne pratique : Affichez un panneau en salle d'attente, intégrez une mention dans votre questionnaire patient et mettez à jour votre site web.

4. Recueillir le consentement

Le consentement n'est pas nécessaire pour les actes de soins (base légale : obligation légale et intérêt vital). En revanche, il est obligatoire pour :

  • L'envoi de newsletters ou d'offres commerciales
  • Le partage de données avec des partenaires non liés aux soins
  • L'utilisation de cookies de suivi sur votre site web
  • La prise de photographies intra-orales à des fins pédagogiques ou de communication

Le consentement doit être libre, spécifique, éclairé et univoque. Un formulaire pré-coché ne constitue pas un consentement valable.

5. Sécuriser les données

Les données de santé exigent un niveau de sécurité renforcé :

  • Hébergement HDS obligatoire : Tout hébergeur de données de santé doit être certifié HDS (article L.1111-8 du Code de la santé publique). Cela concerne votre logiciel de gestion, vos sauvegardes cloud et tout outil tiers qui manipule des données patients.
  • Chiffrement : Les données doivent être chiffrées au repos et en transit (TLS 1.2 minimum, AES-256 recommandé)
  • Contrôle d'accès : Chaque utilisateur doit avoir un identifiant personnel avec des droits adaptés à sa fonction
  • Mots de passe robustes : 12 caractères minimum, combinant majuscules, minuscules, chiffres et caractères spéciaux
  • Sauvegardes régulières : Sauvegardes chiffrées, testées régulièrement, stockées dans un lieu distinct

DentalIAssist respecte l'ensemble de ces exigences avec des données hébergées chez OVHcloud, hébergeur certifié HDS, un chiffrement AES-256, et un contrôle d'accès par rôle.

6. Gérer les violations de données

En cas de fuite, perte ou accès non autorisé aux données, vous devez :

  1. Notifier la CNIL dans les 72 heures si la violation présente un risque pour les droits des personnes
  2. Informer les patients concernés si le risque est élevé
  3. Documenter l'incident : nature, conséquences, mesures correctives

Exemples de violations : ordinateur volé avec des dossiers patients non chiffrés, ransomware sur le serveur du cabinet, envoi d'un dossier au mauvais patient par email.

7. Réaliser une analyse d'impact (AIPD)

L'analyse d'impact sur la protection des données est obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé. Pour un cabinet dentaire, elle est requise si vous :

  • Utilisez un logiciel d'aide à la décision clinique par IA à grande échelle
  • Croisez des données de santé avec des données comportementales
  • Traitez des données génétiques ou biométriques

Pour la majorité des cabinets, une AIPD n'est pas nécessaire si vous utilisez un logiciel de gestion standard.

Checklist RGPD pour votre cabinet

Voici les actions prioritaires à mettre en place :

  • Registre des traitements rédigé et à jour
  • Politique de confidentialité affichée (salle d'attente + site web)
  • Contrats de sous-traitance signés avec tous les prestataires (logiciel, cloud, labo)
  • Données hébergées chez un hébergeur certifié HDS pour toutes les données de santé numériques
  • Mots de passe individuels et robustes pour chaque utilisateur
  • Procédure de réponse aux demandes de droits des patients
  • Procédure de notification en cas de violation de données
  • Formation de l'équipe aux bonnes pratiques (verrouillage d'écran, phishing)
  • Chiffrement des postes de travail et des supports amovibles
  • Sauvegardes régulières, chiffrées et testées

Les erreurs les plus fréquentes

Utiliser un hébergement non certifié HDS

Stocker des données de santé sur Google Drive, Dropbox ou un serveur personnel non certifié est illégal. Même les sauvegardes doivent être hébergées chez un prestataire HDS.

Ne pas avoir de contrat de sous-traitance

L'article 28 du RGPD impose un contrat écrit avec chaque sous-traitant qui accède aux données personnelles. Cela inclut votre éditeur de logiciel, votre prestataire informatique, votre laboratoire de prothèse s'il reçoit des données numériques.

Ignorer les demandes des patients

Un patient peut exercer ses droits à tout moment : droit d'accès, de rectification, d'effacement (dans les limites de l'obligation de conservation du dossier médical), de portabilité. Vous devez répondre dans un délai d'un mois.

Mots de passe partagés

Chaque membre de l'équipe doit avoir son propre identifiant. Un mot de passe partagé rend impossible la traçabilité des accès et constitue une faille de sécurité majeure.

Comment DentalIAssist vous aide à rester conforme

DentalIAssist a été conçu dès l'origine avec la conformité RGPD et la sécurité des données de santé comme priorités absolues :

  • Données hébergées chez OVHcloud, hébergeur certifié HDS, serveurs situés en France
  • Chiffrement AES-256 au repos et TLS 1.3 en transit
  • Contrôle d'accès par rôle : praticien, assistante, secrétaire — chacun accède uniquement aux données nécessaires
  • Journalisation des accès : traçabilité complète de qui a accédé à quoi et quand
  • Consentement intégré : les questionnaires patients intelligents incluent les mentions RGPD et le recueil de consentement
  • Suppression sécurisée : possibilité de supprimer définitivement les données sur demande du patient

La conformité n'est pas un frein à l'innovation. C'est une exigence de confiance envers vos patients. Découvrez toutes nos mesures de sécurité ou demandez une démo gratuite pour voir comment nous intégrons la conformité au quotidien.

Partager cet article

LinkedInXFacebookInstagram

Simplifiez votre cabinet avec l'IA

DentalIAssist automatise vos tâches administratives, sécurise vos décisions cliniques et vous fait gagner un temps précieux. Conforme RGPD & HDS.

Demander une démo gratuite

Articles similaires

HDShébergement données de santéRGPDsécuritéconformitélogiciel dentairecabinet dentaire

Hébergement HDS : pourquoi c'est non négociable pour un logiciel dentaire

L'hébergement HDS est une obligation légale pour tout logiciel qui manipule des données de santé. Découvrez ce que signifie la certification HDS, pourquoi votre cabinet dentaire est concerné et comment vérifier la conformité de vos outils.

Dr Cécile Nicolas