Dentanorme
Guides/Sanctions
Vérifié le

Sanctions RGPD cabinet dentaire : montants et exemples 2026

Amendes CNIL, plafonds RGPD, procédure simplifiée 20 000 €, sanctions pénales et ordinales : ce que risque concrètement un chirurgien-dentiste en cas de manquement RGPD.

L'essentiel

Un manquement RGPD dans un cabinet dentaire peut entraîner trois familles de sanctions cumulables : administrative (CNIL — jusqu'à 20 M€ ou 4 % du CA mondial en procédure ordinaire, 20 000 € en procédure simplifiée), pénale (jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende au titre des articles 226-16 et suivants du code pénal), et ordinale (Conseil de l'Ordre). En 2025, la CNIL a prononcé 83 sanctions pour un total de 486,8 M€.

Cadre réglementaire

  • Règlement (UE) 2016/679 (RGPD)Art. 83 — Conditions générales pour imposer des amendes administratives

    Plafonds de 10 M€ ou 2 % du CA mondial pour certains manquements ; 20 M€ ou 4 % du CA pour les violations les plus graves (principes, droits des personnes, transferts).

    Consulter le texte
  • Loi n° 78-17 du 6 janvier 1978 modifiéeArt. 22-1 — Procédure simplifiée

    Procédure simplifiée devant la formation restreinte de la CNIL : amende plafonnée à 20 000 €, injonction sous astreinte limitée à 100 €/jour, sans audience publique sauf demande.

    Consulter le texte
  • Code pénalArt. 226-16 à 226-24

    Sanctions pénales pour atteinte aux droits de la personne résultant des fichiers : jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende, applicables au-delà des sanctions administratives.

    Consulter le texte
  • Code pénalArt. 226-13 — Violation du secret professionnel

    Toute révélation d'une information à caractère secret par un professionnel y étant soumis est punie d'un an d'emprisonnement et 15 000 € d'amende.

    Consulter le texte
  • Code de la santé publiqueArt. L.4124-6 (sanctions ordinales)

    Échelle disciplinaire devant la chambre disciplinaire : avertissement, blâme, interdiction temporaire ou permanente d'exercer.

    Consulter le texte

Obligations concrètes

  1. Mesurer son exposition aux trois familles de sanctions

    Les sanctions CNIL, pénales et ordinales sont indépendantes et peuvent se cumuler. Une fuite de données patients peut déclencher simultanément un contrôle CNIL, une plainte au pénal du patient, et une saisine de l'Ordre.

  2. Anticiper la procédure simplifiée CNIL

    Depuis la loi du 24 janvier 2022, le président de la formation restreinte peut prononcer seul, sans audience publique, des sanctions pouvant atteindre 20 000 €. Cette procédure est désormais largement utilisée pour les manquements de gravité moyenne — typiquement le profil d'un cabinet libéral.

  3. Identifier les manquements les plus sanctionnés

    En 2025, les principaux motifs de sanction CNIL étaient les cookies, la surveillance des salariés et la sécurité des données. Pour un cabinet dentaire, le risque concret porte sur le défaut de sécurité (article 32 RGPD), illustré par les sanctions de deux médecins libéraux pour absence de chiffrement.

  4. Communiquer en cas de violation

    La dissimulation d'une violation est en soi un manquement aggravant. La CNIL valorise au contraire la transparence, la notification dans les délais (72 h) et les mesures correctives prises rapidement, qui peuvent réduire significativement le quantum de la sanction.

Sanctions en cas de manquement

  • Amende CNIL — manquement aux principes (art. 5, 6, 9 RGPD)jusqu'à 20 M€ ou 4 % du CA mondial annuel (le plus élevé)

    Base légale : Art. 83.5 RGPD

  • Amende CNIL — manquement formel (registre, sous-traitance, sécurité)jusqu'à 10 M€ ou 2 % du CA mondial annuel

    Base légale : Art. 83.4 RGPD

  • Amende CNIL — procédure simplifiéejusqu'à 20 000 € + injonction 100 €/jour

    Base légale : Art. 22-1 loi n° 78-17 modifiée

  • Amende pénale — atteinte aux fichiersjusqu'à 5 ans d'emprisonnement et 300 000 €

    Base légale : Art. 226-16 à 226-24 du code pénal

  • Violation du secret professionnel1 an d'emprisonnement et 15 000 €

    Base légale : Art. 226-13 du code pénal, art. L.1110-4 CSP

  • Sanctions ordinalesavertissement, blâme, interdiction temporaire ou permanente d'exercer

    Base légale : Art. L.4124-6 CSP — chambre disciplinaire de l'Ordre

  • Mesures correctrices CNIL non financièresrappel à l'ordre, mise en demeure, injonction de cesser le traitement, publication

    Base légale : Art. 20 loi n° 78-17 modifiée

Réduire son exposition aux sanctions RGPD — 8 actions concrètes

  • Audit RGPD documenté tous les 6 mois (preuve d'accountability)
  • Chiffrement des sauvegardes et des disques portables
  • Sessions du logiciel patient verrouillées automatiquement
  • Authentification forte sur les comptes administrateur
  • Test annuel de restauration des sauvegardes
  • Procédure de notification 72 h CNIL prête et testée
  • Contrats article 28 à jour avec chaque sous-traitant
  • Formation annuelle de l'équipe au RGPD, traçabilité conservée
Découvrir Dentanorme

Questions fréquentes

Quelle est la sanction RGPD la plus probable pour un cabinet dentaire libéral ?

Pour un manquement isolé (défaut de registre, absence de contrat sous-traitant, ou défaut de sécurité), le scénario le plus fréquent est une mise en demeure de la CNIL, suivie d'une amende en procédure simplifiée plafonnée à 20 000 € si la mise en demeure n'est pas suivie d'effet.

La CNIL a-t-elle déjà sanctionné un cabinet dentaire ?

La CNIL a sanctionné des médecins libéraux pour défaut de sécurité (chiffrement absent, données accessibles depuis Internet). Les motifs s'appliquent aux cabinets dentaires dans des conditions identiques. La société CEGEDIM SANTÉ a par exemple été sanctionnée à hauteur de 800 000 € en 2024.

Une amende CNIL est-elle assurable ?

Non. Les amendes administratives et pénales ne sont pas assurables en droit français (article L.113-1 du code des assurances). Seule la défense pénale et certains frais de remédiation peuvent être pris en charge par une assurance cyber.

Le patient peut-il porter plainte au pénal ?

Oui. Le patient lésé par un manquement aux obligations RGPD ou par une violation du secret médical peut porter plainte au titre des articles 226-13 et 226-16 du code pénal, indépendamment de toute action de la CNIL ou de l'Ordre.

Une condamnation CNIL est-elle publique ?

Les sanctions de la formation restreinte (procédure ordinaire) sont publiées sur le site de la CNIL et sur Légifrance, parfois nominativement. La procédure simplifiée n'est généralement pas rendue publique nominativement, mais peut l'être dans certains cas.

Sources et textes de référence

Vérifié manuellement le .

  1. [1]Article 83 RGPD — Conditions des amendes administratives Eur-Lex (Règl. UE 2016/679, art. 83)
  2. [2]Sanctions et mesures correctrices : bilan 2025 de la CNIL CNIL
  3. [3]Sanctions et mesures correctrices : bilan 2024 de la CNIL CNIL
  4. [4]Violations de données de santé : la CNIL sanctionne deux médecins CNIL
  5. [5]Données de santé : sanction de 800 000 € à l'encontre de CEGEDIM SANTÉ CNIL
  6. [6]Loi n° 78-17 modifiée Informatique et Libertés Légifrance
  7. [7]Article 226-13 du code pénal — Violation du secret professionnel Légifrance (Art. 226-13 C. pén.)
  8. [8]Article L.4124-6 CSP — Sanctions ordinales Légifrance (Art. L.4124-6 CSP)

Pilotez la conformité de votre cabinet dentaire

Dentanorme regroupe inventaire, DPC et préparation des audits ARS dans un seul outil pour les cabinets dentaires libéraux français.

Essai gratuit 14 jours

Guides liés

Retour à Sanctions

Ce site utilise des cookies fonctionnels (authentification, sécurité) et des cookies d'analysepour améliorer votre expérience. Aucun cookie publicitaire n'est utilisé. En savoir plus