L'essentiel
La CNIL a sanctionné plusieurs cabinets et structures de santé pour manquements RGPD : défaut de sécurité (Art. 32), défaut d'information (Art. 13-14), conservation excessive (Art. 5-1-e), absence de DPO ou de registre. Les amendes vont de 3 000 à 800 000 € selon la gravité, le CA et la coopération. Les leçons : sécurité informatique, registre des traitements, DPO ou référent, formation équipe.
Cadre réglementaire
- Règlement (UE) 2016/679 — RGPDArt. 83 — Sanctions administratives
Plafond des amendes : 20 M€ ou 4 % du CA mondial annuel (le plus élevé). Critères : gravité, durée, nombre de personnes, caractère intentionnel ou non, mesures de remédiation, antécédents.
Consulter le texte - Loi n° 78-17 du 6 janvier 1978Loi Informatique et Libertés (modifiée par RGPD)
Loi nationale d'application du RGPD. Pouvoirs de la CNIL : contrôles, mises en demeure, amendes administratives, injonctions sous astreinte.
Consulter le texte - CNIL — Délibérations sanctionsDécisions publiques de la formation restreinte
La CNIL publie ses décisions de sanction. Permet d'identifier les manquements types et les montants pratiqués selon la nature des infractions.
Consulter le texte
Obligations concrètes
Étudier les motifs récurrents de sanction
Manquements le plus souvent sanctionnés en santé : défaut de sécurité (mots de passe faibles, sauvegardes non chiffrées, accès partagés), conservation excessive (dossiers de patients partis depuis plus de 30 ans non purgés), défaut de minimisation (collecte excessive d'informations), défaut d'information (mentions légales obsolètes, formulaires sans bandeau), absence de registre des traitements.Sécuriser les données — niveau minimum
MFA sur logiciel cabinet, chiffrement des sauvegardes, mots de passe forts (gestionnaire), antivirus / EDR, mises à jour automatiques, journalisation des accès, suppression des accès des salariés sortis. C'est le socle technique CNIL Art. 32.Tenir un registre des traitements
Article 30 RGPD. Pour chaque traitement (gestion patients, paie, vidéosurveillance) : finalité, base légale, catégories de données, destinataires, durée, mesures de sécurité. Modèle CNIL téléchargeable. Mise à jour annuelle.Informer les patients
Bandeau RGPD à l'accueil + formulaire d'information patient + mentions sur site internet (Art. 13-14 RGPD). Information sur : finalités, durée de conservation, droits (accès, rectification, opposition, portabilité), DPO ou contact, autorité de contrôle (CNIL).Désigner un référent ou DPO
Pour traitement à grande échelle de données de santé : DPO obligatoire (Art. 37 RGPD). Pour cabinet libéral standard, DPO non obligatoire mais référent fortement recommandé (interne ou externalisé via prestataire / Ordre régional).Réagir à un incident
Toute violation de données (vol de portable, ransomware, fuite par erreur d'envoi) : analyse < 72 h, déclaration CNIL via formulaire en ligne (Art. 33 RGPD), information des patients si risque élevé (Art. 34). Conservation des preuves d'analyse et des actions correctives.Exercer une démarche de conformité documentée
Documents requis : registre des traitements, analyse d'impact (DPIA) pour traitements à risque, procédures (droits des personnes, violation de données, durée de conservation), preuves de formation des salariés. Cette documentation est le bouclier en cas de contrôle.
Sanctions en cas de manquement
- Avertissement— rappel public sans amende
Base légale : Art. 58.2.b RGPD
- Mise en demeure— obligation de mise en conformité dans un délai imparti
Base légale : Art. 58.2.d RGPD
- Amende administrative — manquement formel— jusqu'à 10 M€ ou 2 % du CA mondial
Base légale : Art. 83.4 RGPD
- Amende administrative — manquement majeur— jusqu'à 20 M€ ou 4 % du CA mondial
Base légale : Art. 83.5 RGPD
RGPD cabinet dentaire — 8 points clés CNIL
- Registre des traitements à jour (Art. 30)
- Information patient en place (formulaire + bandeau)
- Sécurité informatique au niveau (MFA, chiffrement, sauvegardes)
- Procédure de gestion des droits des personnes
- Procédure violation de données < 72 h
- Référent ou DPO désigné
- Formation équipe annuelle tracée
- DPIA pour traitements à risque (vidéosurveillance...)
Questions fréquentes
Quels cabinets ont déjà été sanctionnés ?
La CNIL publie ses décisions sur cnil.fr (rubrique « Sanctions prononcées »). Les cabinets dentaires individuels apparaissent rarement (sanctions souvent par mise en demeure non publique). Les sanctions visibles concernent surtout les centres de santé, hôpitaux, et les structures à grande échelle. Les bonnes pratiques sont identiques.
Combien coûte une mise en conformité RGPD ?
Cabinet libéral : 1 500-5 000 € (audit + accompagnement DPO externe sur 6 mois) + ~500-1 000 € / an de maintenance. Bien moins que les amendes encourues (10 000+ € même pour un cabinet libéral en cas de manquement avéré).
Une fuite de données m'a impacté — que faire ?
1. Endiguer l'incident (déconnecter, changer mots de passe). 2. Évaluer l'étendue (combien de patients, quelles données). 3. Déclarer CNIL < 72 h via formulaire en ligne. 4. Si risque élevé : informer les patients individuellement. 5. Notifier la RCP. 6. Documenter actions correctives. La déclaration CNIL n'aggrave pas la sanction — au contraire, l'absence est sanctionnée.
La CNIL contrôle-t-elle les cabinets sans plainte ?
Oui — la CNIL a un programme de contrôle annuel par thème (santé, vidéosurveillance, démarchage). Aussi : contrôle inopiné sur place ou en ligne. Coopérer fait baisser la sanction. La transparence et la documentation présentes lors du contrôle font la différence.
Sources et textes de référence
Vérifié manuellement le .
- [1]RGPD Art. 83 — Sanctions administratives — CNIL
- [2]Loi Informatique et Libertés (LIL) — version consolidée — Légifrance
- [3]Sanctions prononcées par la CNIL — CNIL
Pilotez la conformité de votre cabinet dentaire
Dentanorme regroupe inventaire, DPC et préparation des audits ARS dans un seul outil pour les cabinets dentaires libéraux français.
Voir les tarifs