Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
RGPD

RGPD et cabinet dentaire : le guide 2026

RGPD cabinet dentaire : dossier patient, imagerie, ententes mutuelles, rappels SMS, logiciels métier, HDS, DPO, durées de conservation. Guide et checklist.

L’essentiel. Un chirurgien-dentiste est professionnel de santé et responsable de traitement de données de santé : dossier patient, imagerie (panoramiques, cone beam), ententes préalables avec les mutuelles, historique de soins. Cela impose un hébergement HDS pour le dossier informatisé, un cadre strict pour les rappels de rendez-vous par SMS (aucune donnée de santé dans le message), des contrats Art. 28 avec les éditeurs de logiciels, et — dans la plupart des cas — la désignation d’un DPO. La durée de conservation du dossier dentaire suit celle du dossier médical : 20 ans.

Le cabinet dentaire est très proche du cabinet médical sur le plan RGPD, avec quelques spécificités : le poids de l’imagerie, la mécanique des ententes préalables et devis mutuelles, et l’usage massif des rappels de rendez-vous automatisés. Dans les audits que je mène auprès de praticiens, je retrouve les mêmes lacunes qu’en médecine générale — registre incomplet, hébergement non vérifié HDS, sous-traitance non encadrée — auxquelles s’ajoutent des pratiques propres au dentaire : SMS de rappel révélant des informations de soin, radios stockées sans maîtrise, devis conservés sans durée définie. Voici ce qu’un cabinet dentaire doit mettre en place.

Ce qui rend le cabinet dentaire particulier

La nature des données. Le dossier dentaire contient des données de santé au sens de l’Art. 9 : diagnostics, actes réalisés, imagerie, prothèses, antécédents, parfois pathologies générales ayant un impact bucco-dentaire (diabète, traitements anticoagulants, allergies). Ce sont des données sensibles, interdites de traitement par principe sauf exception de l’Art. 9(2).

Le secret professionnel. Le chirurgien-dentiste est soumis au secret médical de l’article L. 1110-4 du Code de la santé publique, secret absolu couvrant tout ce qui est venu à sa connaissance. Le secret et le RGPD se complètent : l’un protège la relation de soin contre la divulgation, l’autre encadre la collecte, l’usage et la conservation.

Le poids de l’imagerie. Radiographies rétro-alvéolaires, panoramiques, cone beam (imagerie 3D) : le cabinet dentaire produit et stocke un volume d’imagerie médicale important, souvent via un logiciel dédié relié aux capteurs. Cette imagerie est une donnée de santé à part entière, dont l’hébergement et la sécurité doivent être maîtrisés.

Le statut RGPD du praticien : responsable de traitement

Le chirurgien-dentiste en exercice libéral est responsable de traitement au sens de l’Art. 4(7) : il détermine les finalités (soigner, facturer, gérer le cabinet) et les moyens (dossier patient, logiciel métier, imagerie, télétransmission). En SELARL, SCP ou centre de santé dentaire, c’est la structure juridique qui est responsable de traitement.

À ce titre, le cabinet doit délivrer l’information de l’Art. 13 (affichette en salle d’attente et notice), tenir le registre des activités de traitement (Art. 30), garantir les droits des patients, et notifier toute violation de données à risque dans les 72 heures. Vis-à-vis de l’éditeur du logiciel, de l’hébergeur, du prestataire de télétransmission ou du secrétariat externalisé, le cabinet est responsable de traitement et ces prestataires sont ses sous-traitants.

Les bases légales à mobiliser

La base légale se construit à deux étages : une base de l’Art. 6 et une exception de l’Art. 9 pour les données de santé.

Traitement Base Art. 6 Exception Art. 9
Dossier patient, soins, imagerie Art. 6(1)(b) contrat de soins / Art. 6(1)© Art. 9(2)(h) prise en charge
Facturation, télétransmission, tiers payant Art. 6(1)© obligations comptables et sociale Art. 9(2)(h) ou (b)
Ententes préalables, devis mutuelles Art. 6(1)(b) / Art. 6(1)© Art. 9(2)(h) ou (b) sécurité sociale
Rappels de rendez-vous Art. 6(1)(b) contrat de soins / Art. 6(1)(f) — (pas de donnée de santé dans le message)
Communication du cabinet, avis patients Art. 6(1)(a) consentement / Art. 6(1)(f)

Le fondement central — soigner et tenir le dossier — repose sur la combinaison Art. 6(1)(b) ou © et Art. 9(2)(h).

L’hébergement du dossier et de l’imagerie : HDS obligatoire

Dès qu’un prestataire externe héberge des données de santé pour le compte du praticien — y compris par simple stockage —, il doit être certifié « Hébergeur de Données de Santé » (HDS) au titre de l’article L. 1111-8 du Code de la santé publique. En cabinet dentaire, cela concerne :

  • Le logiciel de gestion et de dossier patient en mode SaaS.
  • Le logiciel d’imagerie et le stockage des radios/cone beam s’ils sont hébergés en ligne.
  • L’hébergeur du serveur de sauvegarde si les données y transitent.
  • Les solutions de partage d’imagerie avec des correspondants (orthodontistes, chirurgiens maxillo-faciaux, laboratoires de prothèse).

La vérification prioritaire : demander à chaque éditeur son attestation de certification HDS et la localisation des données, puis l’annexer au contrat de sous-traitance. Beaucoup de praticiens ignorent où sont réellement hébergées leurs radios.

Les rappels de rendez-vous par SMS : le piège quotidien

Les rappels automatisés de rendez-vous sont une source récurrente de manquements. Deux règles :

Aucune donnée de santé dans le message. Un SMS ou e-mail de rappel ne doit jamais révéler la nature du soin, le motif ou un diagnostic. « Rappel de votre rendez-vous le 12 à 14h au cabinet » est acceptable ; « Rappel de votre rendez-vous pour la pose d’implant » ne l’est pas — le message transite par des réseaux et des terminaux non maîtrisés, et peut être lu par un tiers.

Base légale et information. Le rappel s’inscrit dans l’exécution du contrat de soins (Art. 6(1)(b)) ou dans l’intérêt légitime du cabinet à réduire l’absentéisme. Le patient doit être informé de ce traitement et le prestataire d’envoi (plateforme SMS, module du logiciel) est un sous-traitant à encadrer par un contrat Art. 28. Les rappels ne doivent pas être détournés en prospection commerciale (relances marketing, promotions) sans base et information distinctes.

Les ententes préalables et devis mutuelles

Le dentaire se distingue par le volume d’échanges avec l’Assurance maladie et les mutuelles : ententes préalables, devis conventionnels, demandes de prise en charge. Ces échanges transmettent des données de santé (actes, cotations) à des tiers.

Points de vigilance :

  • La transmission à la mutuelle repose sur l’accord du patient pour la prise en charge de ses soins ou sur le droit de la sécurité sociale ; elle doit être limitée aux données strictement nécessaires à la prise en charge.
  • Les plateformes de tiers payant et de gestion des devis sont des sous-traitants (ou responsables conjoints selon les cas) : leur rôle doit être qualifié et contractualisé.
  • Les devis conservés doivent avoir une durée définie et ne pas s’accumuler indéfiniment.

Le DPO : en pratique obligatoire

La désignation d’un DPO est en pratique obligatoire pour un cabinet dentaire traitant régulièrement des patients, au titre du traitement de données de santé à grande échelle (Art. 37(1)©) tel qu’interprété par la CNIL pour les professionnels de santé. Le DPO peut être externalisé ou mutualisé (via une structure professionnelle ou un prestataire spécialisé) pour en limiter le coût. Il doit disposer de moyens réels et rapporter à la direction du cabinet.

Durées de conservation

Donnée Durée indicative Fondement
Dossier patient et imagerie 20 ans après le dernier acte (28 ans pour les mineurs) Réglementation dossier médical
Facturation, comptabilité Selon délais comptables et fiscaux Code de commerce
Devis, ententes préalables Durée utile à la prise en charge + archivage limité Gestion, prescription
Données de rappel (téléphone, e-mail) Durée de la relation de soin Minimisation
Avis patients, communication Jusqu’au retrait du consentement Art. 6(1)(a)

Voir notre tableau des durées de conservation. Le droit à l’effacement (Art. 17) est largement neutralisé par l’obligation légale de conservation du dossier de soins : on ne peut pas effacer un dossier dentaire pendant sa durée légale de conservation. En revanche, le patient conserve son droit d’accès et son droit de rectification.

Sous-traitance et sécurité

Un cabinet dentaire s’appuie sur plusieurs sous-traitants : éditeur du logiciel métier, hébergeur HDS, logiciel d’imagerie, prestataire de télétransmission, plateforme de prise de rendez-vous en ligne, secrétariat téléphonique, laboratoire de prothèse (échanges d’empreintes numériques et d’imagerie), plateforme SMS. Chacun doit signer un contrat conforme à l’Art. 28(3).

Côté sécurité (Art. 32), le minimum attendu est élevé : comptes nominatifs et habilitations par profil (praticien, assistant(e), secrétariat), suppression des accès au départ d’un collaborateur, chiffrement des postes et des sauvegardes, sauvegardes testées, verrouillage automatique des sessions, messagerie sécurisée de santé (MSSanté) pour les échanges médicaux, et plan de réaction aux incidents (ransomware inclus — les cabinets sont des cibles). L’installation d’un nouveau logiciel de dossier patient ou d’imagerie traitant massivement des données de santé justifie une AIPD préalable.

Erreurs fréquentes et sanctions

Manquements récurrents : SMS de rappel révélant le motif du soin ; radios et cone beam hébergés sans HDS vérifié ; absence de contrat Art. 28 avec l’éditeur ou le laboratoire de prothèse ; registre incomplet ; devis conservés sans durée ; DPO absent ; accès trop larges au logiciel métier.

La CNIL a prononcé plusieurs sanctions et mises en demeure dans le secteur de la santé, principalement pour défaut de sécurisation (mots de passe faibles, absence de chiffrement, accès non tracés) et gestion insuffisante des sous-traitants. Sans citer de numéro que je ne pourrais garantir, la logique est constante : la CNIL cible d’abord les acteurs à fort impact (éditeurs, plateformes, laboratoires), mais la doctrine s’impose à tous. Un cabinet subissant un incident significatif sans pouvoir démontrer sa conformité s’expose à une sanction sévère. Voir notre synthèse sur les sanctions RGPD.

Pour structurer la mise en conformité, un logiciel RGPD permet d’industrialiser la tenue du registre, le suivi des sous-traitants (éditeur, imagerie, prothèse, SMS) et le pilotage des AIPD.

Ce qu’il faut retenir

  • Le cabinet dentaire est responsable de traitement de données de santé : régime RGPD renforcé, en plus du secret médical.
  • Le dossier patient et l’imagerie doivent être hébergés chez un prestataire certifié HDS.
  • Les rappels SMS ne doivent jamais révéler la nature du soin ; la plateforme d’envoi est un sous-traitant.
  • Les ententes et devis mutuelles transmettent des données de santé : limitation au strict nécessaire.
  • Le DPO est en pratique obligatoire (données de santé à grande échelle).
  • La durée de conservation du dossier dentaire est de 20 ans (28 ans pour les mineurs).

Voir aussi nos guides sectoriels connexes : RGPD et cabinet médical, RGPD et laboratoire de biologie médicale et RGPD en EHPAD.

Recevez nos analyses conformité chaque semaine.

Veille juridique et guides pratiques pour les professionnels de santé et les structures qui traitent des données sensibles.

S'inscrire à la newsletter

FAQ

Un chirurgien-dentiste doit-il désigner un DPO ?

Oui, dans la très grande majorité des cas. La CNIL considère que le traitement régulier de données de santé par un professionnel de santé libéral relève de l’Art. 37(1)©. Le DPO peut être externalisé ou mutualisé pour en limiter le coût, mais il doit disposer de moyens réels.

Peut-on indiquer le motif du rendez-vous dans un SMS de rappel ?

Non. Un SMS de rappel ne doit jamais révéler la nature du soin (pose d’implant, extraction, etc.). Le message transite par des réseaux et des terminaux non maîtrisés et peut être lu par un tiers. On se limite à la date, l’heure et le lieu du rendez-vous.

Où doivent être hébergées les radios et le cone beam ?

Chez un hébergeur certifié HDS, dès lors que le stockage est externalisé (logiciel d’imagerie en ligne, cloud, sauvegarde en ligne). L’imagerie dentaire est une donnée de santé à part entière. Il faut exiger l’attestation HDS de l’éditeur et la localisation des données.

Un patient peut-il exiger la suppression de son dossier dentaire ?

Non, tant que la durée légale de conservation (20 ans après le dernier acte) n’est pas atteinte. Le droit à l’effacement de l’Art. 17 est neutralisé par l’obligation légale de conservation du dossier de soins. Le patient peut demander l’accès à son dossier et la rectification d’une donnée erronée.

Le laboratoire de prothèse est-il un sous-traitant ?

Lorsqu’il reçoit des empreintes numériques, de l’imagerie ou des informations patient pour réaliser une prothèse pour le compte du cabinet, le laboratoire traite des données de santé pour le cabinet : sa qualification (sous-traitant ou responsable conjoint) doit être analysée et contractualisée. Un contrat Art. 28 est requis lorsqu’il agit comme sous-traitant.

Faut-il une AIPD pour un nouveau logiciel de dossier patient ?

Oui. La mise en oeuvre d’un logiciel traitant massivement des données de santé (dossier patient, imagerie) relève de l’AIPD obligatoire. Elle doit être réalisée avant la mise en service et réévaluée en cas d’évolution significative du traitement.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →