Le RGPD s'applique à tous les cabinets dentaires depuis mai 2018, mais en pratique, beaucoup de praticiens ne savent pas exactement ce qu'ils doivent faire. Entre le registre des traitements, le consentement patient, et la sécurisation du logiciel de gestion, les obligations semblent nombreuses. Ce guide les détaille une par une, avec des actions concrètes adaptées à un cabinet dentaire libéral.
Pourquoi le RGPD concerne les chirurgiens-dentistes
Un cabinet dentaire traite des données de santé — catégorie de données personnelles la plus sensible au sens du RGPD. Dossiers médicaux, radiographies, ordonnances, historique de soins : toutes ces informations sont des données personnelles de catégorie particulière (article 9 du RGPD) soumises à des obligations renforcées.
Le chirurgien-dentiste est juridiquement le responsable de traitement. Il est responsable du respect du RGPD dans son cabinet, même s'il délègue la gestion informatique à un prestataire.
Les 6 obligations RGPD concrètes pour un cabinet dentaire
1. Tenir un registre des activités de traitement
Tout cabinet doit documenter les traitements de données qu'il effectue : gestion des dossiers patients, facturation, prise de rendez-vous, vidéosurveillance (si applicable), gestion du personnel. Pour chaque traitement, il faut préciser : la finalité, les catégories de données, les destinataires, la durée de conservation, et les mesures de sécurité.
La CNIL fournit un modèle de registre simplifié pour les TPE/PME, mais un cabinet dentaire traite des données de santé et doit donc être plus rigoureux.
2. Informer les patients
Les patients doivent être informés de la collecte et de l'utilisation de leurs données. En pratique, cela se traduit par :
- Un document d'information remis au patient lors de la première consultation (papier ou numérique).
- Une mention sur le site web du cabinet (politique de confidentialité).
- L'information doit préciser : identité du responsable de traitement, finalités, base légale, destinataires, durée de conservation, droits du patient.
3. Sécuriser les données
Les mesures de sécurité doivent être proportionnées à la sensibilité des données. Pour un cabinet dentaire, cela implique au minimum :
- Mots de passe robustes sur tous les postes et le logiciel de gestion (12 caractères minimum, non partagés).
- Verrouillage automatiquedes sessions après quelques minutes d'inactivité.
- Sauvegardes régulières des données patients, testées périodiquement.
- Chiffrement des supports amovibles (clés USB, disques externes) contenant des données patients.
- Antivirus et mises à jour système appliquées régulièrement.
4. Encadrer les sous-traitants
Chaque prestataire ayant accès aux données patients (éditeur de logiciel, hébergeur, laboratoire de prothèses, service de télétransmission) doit être lié par un contrat de sous-traitanceconforme à l'article 28 du RGPD. Ce contrat précise les obligations du sous-traitant en matière de sécurité et de confidentialité.
L'hébergeur de données de santé doit être certifié HDS(Hébergeur de Données de Santé), conformément à l'article L. 1111-8 du Code de la santé publique.
5. Gérer les droits des patients
Les patients disposent de droits sur leurs données : accès, rectification, effacement (dans les limites de la durée de conservation légale du dossier médical), portabilité, et opposition. Le cabinet doit pouvoir répondre à une demande dans un délai d'un mois.
En pratique, les demandes les plus fréquentes sont l'accès au dossier médical et la transmission du dossier à un confrère.
6. Notifier les violations de données
En cas de violation (vol de PC, ransomware, fuite de données), le cabinet doit notifier la CNIL dans les 72 heures et, si le risque est élevé, informer les patients concernés. Avoir une procédure écrite pour ce scénario est fortement recommandé.
Durées de conservation des données en cabinet dentaire
Les durées varient selon le type de données :
- Dossier médical : 20 ans à compter de la dernière consultation (article R. 1112-7 du CSP), avec un minimum de 10 ans après le décès du patient.
- Données de facturation : 10 ans (obligation comptable).
- Données de prise de rendez-vous: durée nécessaire à la gestion du cabinet, supprimées quand le patient n'est plus suivi.
- Vidéosurveillance : 30 jours maximum (sauf enquête en cours).
Comment Dentanorme aide à la conformité RGPD
Dentanorme intègre la dimension RGPD dans son module de conformité globale. Concrètement, le tableau de bord de conformité vous indique si les points clés du RGPD sont couverts dans votre cabinet, au même titre que les obligations d'hygiène, de radioprotection ou de DPC. L'idée n'est pas de remplacer un DPO ou un juriste, mais de s'assurer que les fondamentaux sont en place.
Questions fréquentes
Un cabinet dentaire doit-il désigner un DPO ?
Non, la désignation d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire pour un cabinet libéral. Elle le devient uniquement pour les établissements de santé réalisant des traitements à grande échelle. Cependant, désigner un référent RGPD en interne est une bonne pratique.
Le consentement du patient est-il nécessaire pour tenir son dossier médical ?
Non. La base légale pour le traitement des données de santé dans le cadre des soins n'est pas le consentement mais l'obligation légale (tenue du dossier médical) et la sauvegarde des intérêts vitaux. Le consentement est en revanche nécessaire pour les traitements secondaires (newsletter, communication commerciale).
Que risque un cabinet en cas de contrôle CNIL ?
Les sanctions vont du rappel à l'ordre à l'amende administrative. Pour les professionnels de santé libéraux, la CNIL privilégie la mise en conformité accompagnée. Les amendes les plus lourdes (jusqu'à 4% du chiffre d'affaires) sont réservées aux manquements graves et répétés.
Conclusion
Le RGPD en cabinet dentaire n'est pas un exercice administratif déconnecté de la réalité. Il protège vos patients et votre cabinet. Les obligations sont claires et les actions concrètes sont à la portée de tout praticien. L'essentiel est de structurer votre démarche : registre, information, sécurité, contrats — et de ne pas attendre un contrôle pour s'y mettre.