Le RGPD s'applique-t-il à un cabinet dentaire libéral avec un seul praticien ?

Oui. Le RGPD s'applique à toute structure qui collecte ou traite des données personnelles, y compris un cabinet individuel. Dès lors que vous tenez des dossiers patients, envoyez des rappels SMS ou utilisez un logiciel de gestion, vous êtes responsable de traitement au sens du RGPD.

Un DPO est-il obligatoire pour un cabinet dentaire ?

Non pour un cabinet individuel, mais fortement recommandé. Un référent interne RGPD suffit dans la plupart des cas. La désignation d'un DPO devient obligatoire pour un cabinet de groupe traitant des données de santé à grande échelle.

Combien de temps doit-on conserver un dossier patient dentaire ?

20 ans après la dernière consultation pour le dossier médical, 10 ans pour les radiographies et les données de facturation, 2 ans pour les données de prise de rendez-vous après dernier contact, 3 ans pour les données de prospection.

Que faire en cas de violation de données patient ?

Notifier la CNIL dans les 72 heures si la violation présente un risque pour les droits des personnes, informer les patients concernés si le risque est élevé, et documenter l'incident (nature, conséquences, mesures correctives).

Google Drive ou Dropbox peuvent-ils héberger un dossier patient dentaire ?

Non. Les données de santé doivent être hébergées chez un hébergeur certifié HDS (article L.1111-8 du Code de la santé publique). Google Drive et Dropbox standards ne sont pas certifiés HDS — leur usage pour des données patients est illégal.

Quelles sont les sanctions en cas de non-conformité RGPD pour un cabinet ?

Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel. La CNIL a déjà contrôlé et sanctionné des professionnels de santé, y compris des petits cabinets. Les sanctions ordinales et la responsabilité civile du praticien s'ajoutent.

RGPD cabinet dentaire : le guide complet pour être en conformité en 2026

Table des matières

En bref : Le RGPD s'applique à tout cabinet dentaire, même individuel, dès lors qu'il traite des données patients. Sept obligations clés : référent interne, registre des traitements, information patient, consentement, sécurité (hébergement HDS obligatoire), gestion des violations et AIPD si besoin. Sanctions jusqu'à 20 M€ ou 4 % du CA.

Pourquoi le RGPD concerne directement votre cabinet dentaire

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s'applique à toute structure qui collecte ou traite des données personnelles dans l'Union européenne. Le RGPD au cabinet dentaire prend une dimension particulière : un cabinet traite quotidiennement des données de santé, classées parmi les données les plus sensibles par le règlement.

Contrairement à une idée reçue, le RGPD ne concerne pas uniquement les grandes entreprises. Un cabinet dentaire libéral, même composé d'un seul praticien, est pleinement concerné dès lors qu'il :

Tient des dossiers patients (papier ou numérique)
Envoie des rappels de rendez-vous par SMS ou email
Utilise un logiciel de gestion de cabinet
Stocke des radiographies numériques
Propose la prise de rendez-vous en ligne

Les sanctions en cas de non-conformité peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel. La CNIL a déjà contrôlé et sanctionné des professionnels de santé.

Les 7 obligations clés du RGPD au cabinet dentaire

1. Désigner un référent données personnelles

Bien que la désignation d'un DPO (Data Protection Officer) ne soit pas obligatoire pour un cabinet individuel, il est fortement recommandé de désigner un référent interne chargé de la conformité. Dans un cabinet de groupe, la désignation d'un DPO peut devenir obligatoire si le traitement de données de santé est effectué à grande échelle.

Action concrète : Nommez une personne au sein du cabinet (praticien, assistante référente) responsable des questions RGPD.

2. Tenir un registre des traitements

Le registre des activités de traitement est le document central de votre conformité. Il doit recenser :

Les catégories de données collectées (identité, historique médical, radiographies)
La finalité de chaque traitement (soins, facturation, rappels)
Les destinataires des données (laboratoire de prothèse, assurance, confrères)
La durée de conservation
Les mesures de sécurité appliquées

Durées de conservation recommandées :

Type de donnée	Durée de conservation
Dossier médical patient	20 ans après la dernière consultation
Radiographies	10 ans minimum
Données de facturation	10 ans (obligation comptable)
Données de prise de rendez-vous	2 ans après le dernier contact
Données de prospection	3 ans après le dernier contact

3. Informer les patients

Chaque patient doit être informé, de manière claire et accessible, de :

L'identité du responsable de traitement (le praticien)
La finalité de la collecte de données
La base légale du traitement (obligation légale pour les soins, consentement pour le marketing)
Les destinataires des données
La durée de conservation
Ses droits (accès, rectification, effacement, portabilité)

Bonne pratique : Affichez un panneau en salle d'attente, intégrez une mention dans votre questionnaire patient et mettez à jour votre site web.

4. Recueillir le consentement

Le consentement n'est pas nécessaire pour les actes de soins (base légale : obligation légale et intérêt vital). En revanche, il est obligatoire pour :

L'envoi de newsletters ou d'offres commerciales
Le partage de données avec des partenaires non liés aux soins
L'utilisation de cookies de suivi sur votre site web
La prise de photographies intra-orales à des fins pédagogiques ou de communication

Le consentement doit être libre, spécifique, éclairé et univoque. Un formulaire pré-coché ne constitue pas un consentement valable.

5. Sécuriser les données

Les données de santé exigent un niveau de sécurité renforcé :

Hébergement HDS obligatoire : Tout hébergeur de données de santé doit être certifié HDS (article L.1111-8 du Code de la santé publique). Cela concerne votre logiciel de gestion, vos sauvegardes cloud et tout outil tiers qui manipule des données patients.
Chiffrement : Les données doivent être chiffrées au repos et en transit (TLS 1.2 minimum, AES-256 recommandé)
Contrôle d'accès : Chaque utilisateur doit avoir un identifiant personnel avec des droits adaptés à sa fonction
Mots de passe robustes : 12 caractères minimum, combinant majuscules, minuscules, chiffres et caractères spéciaux
Sauvegardes régulières : Sauvegardes chiffrées, testées régulièrement, stockées dans un lieu distinct

DentalIAssist respecte l'ensemble de ces exigences avec des données hébergées chez OVHcloud, hébergeur certifié HDS, un chiffrement AES-256, et un contrôle d'accès par rôle.

6. Gérer les violations de données

En cas de fuite, perte ou accès non autorisé aux données, vous devez :

Notifier la CNIL dans les 72 heures si la violation présente un risque pour les droits des personnes
Informer les patients concernés si le risque est élevé
Documenter l'incident : nature, conséquences, mesures correctives

Exemples de violations : ordinateur volé avec des dossiers patients non chiffrés, ransomware sur le serveur du cabinet, envoi d'un dossier au mauvais patient par email.

7. Réaliser une analyse d'impact (AIPD)

L'analyse d'impact sur la protection des données est obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé. Pour un cabinet dentaire, elle est requise si vous :

Utilisez un logiciel d'aide à la décision clinique par IA à grande échelle
Croisez des données de santé avec des données comportementales
Traitez des données génétiques ou biométriques

Pour la majorité des cabinets, une AIPD n'est pas nécessaire si vous utilisez un logiciel de gestion standard.

Checklist RGPD pour votre cabinet

Voici les actions prioritaires à mettre en place :

Quelles sont les erreurs RGPD les plus fréquentes en cabinet dentaire ?

Utiliser un hébergement non certifié HDS

Stocker des données de santé sur Google Drive, Dropbox ou un serveur personnel non certifié est illégal. Même les sauvegardes doivent être hébergées chez un prestataire HDS.

Ne pas avoir de contrat de sous-traitance

L'article 28 du RGPD impose un contrat écrit avec chaque sous-traitant qui accède aux données personnelles. Cela inclut votre éditeur de logiciel, votre prestataire informatique, votre laboratoire de prothèse s'il reçoit des données numériques.

Ignorer les demandes des patients

Un patient peut exercer ses droits à tout moment : droit d'accès, de rectification, d'effacement (dans les limites de l'obligation de conservation du dossier médical), de portabilité. Vous devez répondre dans un délai d'un mois.

Mots de passe partagés

Chaque membre de l'équipe doit avoir son propre identifiant. Un mot de passe partagé rend impossible la traçabilité des accès et constitue une faille de sécurité majeure.

Mis à jour en avril 2026

Depuis la publication initiale de ce guide, le paysage réglementaire a sensiblement évolué. Trois chantiers structurent désormais la conformité d'un cabinet dentaire en 2026 : l'entrée en vigueur effective de NIS2 en droit français, les nouvelles recommandations CNIL sur la sécurité des données de santé, et l'application progressive de l'AI Act (UE 2024/1689) qui s'articule directement avec le RGPD pour tout outil d'IA manipulant des données patients.

NIS2 : les cabinets dentaires concernés selon leur volumétrie

La directive (UE) 2022/2555 dite NIS2 a été transposée en France par la loi du 14 mai 2025. Elle élargit significativement le périmètre des acteurs soumis à une obligation de cybersécurité renforcée. Les cabinets dentaires traitant un volume significatif de données de santé peuvent, selon leur taille et leur organisation (groupements, centres de santé, SELARL multi-sites), basculer dans la catégorie "entité importante". Les obligations associées sont concrètes : analyse de risques documentée, notification des incidents significatifs à l'ANSSI dans les 24 heures, gouvernance cyber formalisée et responsabilisation de la direction. Même hors périmètre direct, les bonnes pratiques NIS2 deviennent un standard de fait chez les sous-traitants.

CNIL 2025-2026 : double authentification et registre toujours obligatoire

La CNIL a publié en 2025 et début 2026 plusieurs recommandations qui concernent directement les cabinets dentaires. Parmi les points saillants : la double authentification (MFA) est désormais attendue pour tout accès distant aux données de santé, et plusieurs délibérations récentes encadrent plus strictement les questionnaires patients en ligne (minimisation, consentement explicite). Rappel utile : le registre des traitements (article 30 RGPD) reste obligatoire, y compris pour un cabinet unipersonnel.

Ce que ça change pour votre cabinet

Trois vérifications concrètes à mener en 2026 :

Mettre à jour le registre des traitements en y intégrant chaque nouvel outil d'IA utilisé (finalité, données, sous-traitant, durée de conservation).
Auditer les contrats de sous-traitance (DPA, article 28) avec chaque éditeur : logiciel de gestion, outil d'organisation, messagerie, cloud de sauvegarde.
Réaliser un préscoring NIS2 interne pour savoir si votre structure entre dans le périmètre "entité importante" et anticiper la gouvernance associée.

Comment DentalIAssist vous aide à rester conforme

DentalIAssist a été conçu dès l'origine avec la conformité RGPD et la sécurité des données de santé comme priorités absolues :

Données hébergées chez OVHcloud, hébergeur certifié HDS, serveurs situés en France
Chiffrement AES-256 au repos et TLS 1.3 en transit
Contrôle d'accès par rôle : praticien, assistante, secrétaire : chacun accède uniquement aux données nécessaires
Journalisation des accès : traçabilité complète de qui a accédé à quoi et quand
Consentement intégré : les questionnaires patients intelligents incluent les mentions RGPD et le recueil de consentement
Suppression sécurisée : possibilité de supprimer définitivement les données sur demande du patient

Le RGPD au cabinet dentaire n'est pas un frein à l'innovation : c'est une exigence de confiance envers vos patients. Découvrez toutes nos mesures de sécurité ou demandez une démo gratuite pour voir comment nous intégrons la conformité au quotidien.

Sources officielles

Partager cet article

LinkedIn X Facebook Instagram

Simplifiez votre cabinet avec l'IA

DentalIAssist automatise vos tâches administratives, sécurise vos décisions cliniques et vous fait gagner un temps précieux. Conforme RGPD & HDS.

Demander une démo gratuite