L'essentiel
Face à une cyber-attaque en cabinet dentaire (ransomware, fuite, intrusion), la procédure suit 6 étapes en 72 heures : isolation des systèmes, alerte assurance cyber + ANSSI, évaluation de l'atteinte aux données patients, notification CNIL sous 72 heures (article 33 RGPD), information des patients si risque élevé (article 34 RGPD), reconstitution + leçons apprises. Ne jamais payer la rançon sans avis ANSSI.
Cadre réglementaire
- Règlement (UE) 2016/679 (RGPD)Art. 33 — Notification d'une violation à la CNIL
Toute violation susceptible d'engendrer un risque pour les droits et libertés doit être notifiée à la CNIL dans les 72 heures suivant sa découverte.
Consulter le texte - Règlement (UE) 2016/679 (RGPD)Art. 34 — Communication aux personnes concernées
Si la violation est susceptible d'engendrer un risque élevé, le responsable du traitement informe la personne concernée dans les meilleurs délais.
Consulter le texte - Code pénalArt. 323-1 et s. — Atteintes aux STAD
Sanctions pénales contre les auteurs d'atteintes aux systèmes de traitement automatisé de données. Permet de porter plainte au pénal.
Consulter le texte
Obligations concrètes
Étape 1 — Isoler immédiatement (heure 0)
Déconnecter les machines compromises du réseau (câble Ethernet débranché, Wi-Fi coupé). Ne pas éteindre les machines (préserver la mémoire pour analyse forensique). Couper l'accès Internet du cabinet en attendant un diagnostic.Étape 2 — Alerter (heures 0 à 6)
Assurance cyber (si souscrite — déclaration immédiate, hotline 24/7). ANSSI / cybermalveillance.gouv.fr (pour conseil et mise en relation avec un prestataire qualifié). Police / gendarmerie (dépôt de plainte). En interne, équipe informée des consignes (pas de communication externe).Étape 3 — Évaluer (heures 6 à 48)
Identifier la nature de l'incident (ransomware, vol de données, simple intrusion). Évaluer les données potentiellement compromises : dossiers patients, comptabilité, identifiants. Estimer le nombre de personnes affectées. Documenter la chronologie.Étape 4 — Notifier la CNIL (sous 72 heures)
Téléservice CNIL : « Notifier une violation de données ». Mentions obligatoires : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises. Notification possible en plusieurs étapes si toutes les informations ne sont pas disponibles à 72 h.Étape 5 — Informer les patients (si risque élevé)
Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés (vol de données de santé, identifiants), information individuelle des patients dans les meilleurs délais (lettre, SMS, email). Contenu : nature, conséquences, mesures de protection recommandées (changement de mot de passe).Étape 6 — Reconstituer + leçons apprises
Restauration depuis sauvegardes (l'occasion de tester la procédure 3-2-1). Analyse post-incident : faille exploitée, vecteur d'entrée, faiblesses identifiées. Mise à jour du plan cyber-sécurité. Formation renforcée de l'équipe.
Ce qu'il ne faut JAMAIS faire
- Payer la rançon sans avis professionnel.ANSSI et CNIL le déconseillent : aucune garantie de récupération, financement de l'activité criminelle, signal d'une cible payante (récidive).
- Communiquer publiquement avant analyse.Pas de publication réseaux sociaux, pas d'email global hâtif. Toute communication externe doit être validée par votre conseil et coordonnée avec la notification CNIL.
- Effacer les traces.Pas de réinstallation Windows précipitée, pas de suppression des journaux. Ces données sont indispensables à l'enquête forensique et à la preuve devant la CNIL.
- Ignorer la notification 72 h.L'omission ou la tardiveté est en soi un manquement aggravant, sanctionné par la CNIL au-delà de la sanction pour la violation elle-même.
Cyber-attaque cabinet dentaire — 8 actions sous 72 h
- Isolation des machines compromises (déconnexion réseau)
- Alerte assurance cyber + ANSSI (cybermalveillance.gouv.fr)
- Dépôt de plainte police / gendarmerie
- Évaluation des données compromises
- Notification CNIL (téléservice) sous 72 h
- Information patients si risque élevé
- Restauration depuis sauvegardes
- Analyse post-incident + plan d'amélioration
Questions fréquentes
Faut-il payer la rançon en cas de ransomware ?
Non. ANSSI et CNIL le déconseillent fortement : pas de garantie de récupération des données, financement direct de l'activité criminelle, statut de cible payante. Préférez la restauration depuis sauvegardes (d'où l'importance de la règle 3-2-1).
Que se passe-t-il si je notifie la CNIL après 72 h ?
Vous restez tenu de notifier mais la sanction sera plus lourde. La notification doit alors être accompagnée d'une justification du retard (article 33.1 RGPD). Exemples valables : découverte tardive, complexité technique. Ne pas notifier du tout est plus grave que notifier en retard.
Quelle assurance cyber souscrire ?
Assurance cyber dédiée auprès de votre assureur RCP, AXA, Allianz, ou spécialistes (Hiscox, Beazley). Coût ~500-1 500 €/an pour cabinet libéral. Couvre frais de réponse à incident, restauration, communication, frais juridiques. Vérifiez les exclusions (paiement de rançon souvent exclu).
Cybermalveillance.gouv.fr peut-il vraiment aider ?
Oui. Le dispositif gouvernemental met à disposition des conseils gratuits et un annuaire de prestataires qualifiés près de chez vous. Particulièrement utile en cas d'incident sans assurance cyber. Hotline : 0 805 805 817.
Sources et textes de référence
Vérifié manuellement le .
- [1]Article 33 RGPD — Notification CNIL — Eur-Lex
- [2]Notifier une violation de données — CNIL — CNIL
- [3]Articles 323-1 et s. du code pénal — Atteintes aux STAD — Légifrance
- [4]Cybermalveillance.gouv.fr — Dispositif d'assistance — Other
Pilotez la conformité de votre cabinet dentaire
Dentanorme regroupe inventaire, DPC et préparation des audits ARS dans un seul outil pour les cabinets dentaires libéraux français.
Essai gratuit 14 jours