Dentanorme
Guides/Obligations
Vérifié le

Obligations RGPD du chirurgien-dentiste : guide 2026

Registre des traitements, secret médical, notification 72 h, contrats sous-traitants : toutes les obligations RGPD applicables aux cabinets dentaires libéraux, sources CNIL à l'appui.

L'essentiel

Le chirurgien-dentiste libéral est responsable du traitement de données de santé : il doit tenir un registre des activités de traitement, signer un contrat de sous-traitance article 28 RGPD avec ses prestataires (logiciel patient, télétransmission, hébergeur), notifier la CNIL sous 72 heures en cas de violation, et respecter le secret médical (art. L.1110-4 CSP). Le référentiel CNIL pour les professionnels de santé libéraux remplace l'ancienne norme simplifiée NS-50.

Cadre réglementaire

  • Règlement (UE) 2016/679 (RGPD)Articles 5, 6, 9, 28, 30, 32, 33, 34

    Principes de licéité, finalité, minimisation et sécurité ; conditions de traitement des données de santé (article 9) ; obligations du responsable et du sous-traitant ; registre des traitements ; notification des violations.

    Consulter le texte
  • Loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés)Article 65 (sanctions), articles 88 et suivants (santé)

    Adaptation française du RGPD ; pouvoirs de contrôle et de sanction de la CNIL ; régime spécifique aux traitements de données de santé.

    Consulter le texte
  • Code de la santé publiqueArt. L.1110-4

    Secret médical et conditions de partage d'informations entre professionnels participant à la prise en charge du même patient ; consentement requis hors équipe de soins.

    Consulter le texte
  • Référentiel CNIL « Professionnels de santé libéraux »Délibération n° 2019-019 du 21 février 2019

    Cadre de référence pour la mise en conformité des traitements gérant la patientèle d'un cabinet libéral. Remplace l'ancienne norme simplifiée NS-50.

    Consulter le texte
  • Code de la santé publiqueArt. L.1111-8 et R.1111-9 à R.1111-15-1 (HDS)

    Hébergement des données de santé : obligation de recourir à un hébergeur certifié HDS dès qu'un tiers stocke les données patients pour le compte du cabinet.

    Consulter le texte
  • Référentiel CNIL relatif au DPI (dossier patient informatisé)Mesures de sécurité et de confidentialité

    Authentification forte, traçabilité des accès, journalisation, chiffrement : exigences techniques minimales pour les logiciels métiers manipulant des données patient.

    Consulter le texte

Obligations concrètes

  1. Tenir un registre des activités de traitement

    Obligatoire dès qu'un traitement de données est mis en œuvre (article 30 RGPD). Le registre doit lister chaque traitement (gestion des rendez-vous, comptabilité, télétransmission Sesam-Vitale, prise de radiographies, vidéosurveillance), les finalités, les catégories de données et de destinataires, les durées de conservation et les mesures de sécurité.

  2. Identifier la base légale de chaque traitement

    Pour les données de santé, l'article 9 RGPD impose une base spécifique : exécution du contrat de soins (art. 9.2.h), obligation légale (télétransmission), ou consentement (publicités, cas particuliers). Documentez la base retenue dans votre registre.

  3. Encadrer chaque sous-traitant par un contrat article 28

    Logiciel de gestion de cabinet, hébergeur HDS, prestataire de télémaintenance, comptable : tout tiers traitant des données pour le cabinet doit signer un contrat article 28 du RGPD précisant l'objet, la durée, les obligations de sécurité, la sous-traitance ultérieure et les modalités d'audit.

  4. Recourir à un hébergeur certifié HDS

    Tout stockage de données de santé par un tiers — sauvegarde cloud, logiciel SaaS — impose le recours à un hébergeur certifié HDS (art. L.1111-8 CSP). Vérifiez la certification en cours et conservez l'attestation.

  5. Notifier la CNIL en 72 heures en cas de violation

    Toute violation susceptible de porter atteinte aux droits et libertés (perte d'un disque dur, ransomware, accès non autorisé) doit être notifiée à la CNIL dans les 72 heures et inscrite au registre interne des violations (article 33 RGPD). Si le risque est élevé, les patients concernés doivent également être informés (article 34 RGPD).

  6. Respecter et faciliter les droits des patients

    Droit d'accès au dossier (art. L.1111-7 CSP, délai 8 jours, gratuit hors copie), rectification, effacement (sous réserve des obligations de conservation médicale), opposition à des traitements non essentiels (newsletter, recall publicitaire). Une procédure écrite doit être disponible.

  7. Conserver les données pendant la durée légale, puis archiver ou détruire

    Dossier médical : 20 ans à compter du dernier acte (R.1112-7 CSP) ; 10 ans après le décès ; comptabilité : 10 ans (C. com. art. L.123-22) ; vidéo de protection : 1 mois maximum sauf incident. Au-delà, archivage intermédiaire ou destruction sécurisée.

  8. Évaluer l'opportunité de désigner un DPO

    La désignation d'un DPO (délégué à la protection des données) n'est obligatoire que pour le suivi systématique à grande échelle ou les traitements à grande échelle de données sensibles (article 37 RGPD). Un cabinet libéral seul n'y est pas tenu, mais un centre dentaire pluri-praticiens doit l'évaluer formellement.

Sanctions en cas de manquement

  • Sanction administrative (procédure ordinaire)jusqu'à 20 M€ ou 4 % du CA mondial annuel (montant le plus élevé)

    Base légale : Art. 83 RGPD

  • Sanction administrative (procédure simplifiée)jusqu'à 20 000 € + injonction sous astreinte (100 €/jour max)

    Base légale : Art. 22-1 loi n° 78-17 modifiée

  • Sanctions pénales (atteintes aux données)jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende

    Base légale : Art. 226-16 à 226-24 du code pénal

  • Violation du secret médical1 an d'emprisonnement et 15 000 € d'amende

    Base légale : Art. 226-13 du code pénal, art. L.1110-4 CSP

  • Sanctions ordinalesblâme à interdiction d'exercer

    Base légale : Voie disciplinaire — Conseil de l'Ordre

Mise en conformité RGPD — 10 actions clés pour un cabinet dentaire

  • Registre des activités de traitement rédigé et tenu à jour
  • Contrat article 28 RGPD signé avec chaque sous-traitant (logiciel, hébergeur, comptable)
  • Hébergeur HDS certifié, attestation conservée
  • Politique de confidentialité affichée en salle d'attente et sur le site
  • Information écrite remise au patient lors de la première consultation
  • Mots de passe forts + authentification forte sur le logiciel patient
  • Sauvegardes chiffrées et test de restauration semestriel
  • Procédure de notification de violation prête (72 h CNIL)
  • Registre interne des violations, même mineures
  • Durées de conservation appliquées (suppression ou archivage)
Découvrir Dentanorme

Questions fréquentes

Un cabinet dentaire libéral doit-il désigner un DPO ?

Non, dans la majorité des cas. L'article 37 RGPD n'impose un DPO que pour les traitements à grande échelle de données sensibles ou un suivi systématique. Un cabinet libéral seul (1 à 3 praticiens) en est dispensé, mais un centre dentaire ou un groupement de plusieurs cabinets doit formellement évaluer la nécessité.

Mon logiciel de gestion de cabinet doit-il être certifié HDS ?

Si le logiciel stocke vos données patients sur un serveur tiers (cloud, SaaS), oui : l'article L.1111-8 du code de la santé publique impose un hébergeur certifié HDS. Si le logiciel est installé sur un poste local sans hébergement externe, l'obligation HDS ne s'applique pas, mais le RGPD reste applicable.

Que faire en cas de ransomware ou de fuite de données patients ?

Notifiez la CNIL dans les 72 heures via le service en ligne (article 33 RGPD), inscrivez la violation au registre interne, et — si le risque pour les patients est élevé — informez chaque patient concerné dans les meilleurs délais (article 34 RGPD). Documentez chaque action prise.

Combien de temps faut-il conserver le dossier patient ?

Vingt ans à compter du dernier acte ou du dernier passage du patient (article R.1112-7 du code de la santé publique). Si le patient décède dans cet intervalle, la durée est portée à 10 ans après le décès si elle est plus longue.

La CNIL peut-elle vraiment sanctionner un cabinet dentaire seul ?

Oui. La CNIL a déjà sanctionné des médecins libéraux pour défaut de sécurité (chiffrement absent, données accessibles depuis Internet) via sa formation restreinte. La procédure simplifiée permet une amende jusqu'à 20 000 € sans audience publique.

Sources et textes de référence

Vérifié manuellement le .

  1. [1]Règlement (UE) 2016/679 — Texte intégral en français Eur-Lex (RGPD)
  2. [2]RGPD et professionnels de santé libéraux — CNIL CNIL
  3. [3]Le RGPD appliqué au secteur de la santé — CNIL CNIL
  4. [4]Notifier une violation de données personnelles — CNIL CNIL
  5. [5]Données de santé — sécurité et confidentialité du DPI — CNIL CNIL
  6. [6]Article L.1110-4 du code de la santé publique — Secret médical Légifrance (Art. L.1110-4 CSP)
  7. [7]Loi n° 78-17 modifiée Informatique et Libertés Légifrance
  8. [8]Bilan 2025 des sanctions CNIL — 486,8 M€ CNIL
  9. [9]Affichages réglementaires & RGPD — Ordre national des chirurgiens-dentistes Ordre

Pilotez la conformité de votre cabinet dentaire

Dentanorme regroupe inventaire, DPC et préparation des audits ARS dans un seul outil pour les cabinets dentaires libéraux français.

Essai gratuit 14 jours

Guides liés

Retour à Obligations

Ce site utilise des cookies fonctionnels (authentification, sécurité) et des cookies d'analysepour améliorer votre expérience. Aucun cookie publicitaire n'est utilisé. En savoir plus